Blog

Koliko štete Mirai može napraviti Linux serveru?

Mirai je do nedavno bio poznat kao malware koji je napadao IoT uređaje koji su mahom bazirani na ogoljenoj verziji Linuxa. Obzirom da su IoT uređaji direktno spojeni na Internet i imaju limitirane sigurnosne funkcionalnosti, IoT uređaji napadnuti Mirai malwerom lako postaju DDOS zombiji.  Mirai i inačice istog operiraju po sličnim principima:

  • Propagacija – zaraženi uređaji pokušat će zaraziti druge, nasumično odabrane, uređaje. Mirai je svoje širenje započeo korištenjem znanih kombinacija korisničkog imena i lozinka putem zastarjelog telnet protokola. Kasnije verzije su za širenje koristile ranjivosti specifične za platformu, kao što su command-injection bugovi u web sučelju kućnih routera
  • Command-and-control – Jednom inficiran, bot bi se uz propagiranje povremeno prijavljivao na a command-and-control site za potrebe ažuriranja i prikupljanje naredbi za napade
  • Napad – Nakon što bi dobili command-and-control upute, roboti bi pokrenuli koordinirani napad usmjerenim prometom prema žrtvi. To mogu biti velike količine TCP paketa, UDP paketi, HTTP zahtjevi ili mnogo kompliciraniji napadi.

Premda je prema godišnjem istraživanju koje je objavio Symantec, Internet Security Threat Report Volume 24, Mirai DDoS worm sa 16% napada treća najčešća IoT prijetnja u 2018, Mirai više nije samo prijetnja za IoT okruženja.

Kad je Netscoutov ATLAS Security Engineering and Response Team (ASERT) naišao na nove verzije Mirai malwarea, neugodno su se iznenadili vidjevši po prvi put Mirai koji cilja non-IoT okruženja. Kao i mnogi IoT uređaji, nezakrpani Linux serveri se zloupotrebljavaju od strane napadača koji šalju napade na svaki ranjivi server koji mogu pronaći iskorištavajući Hadoop YARN ranjivost.

Ključni zaključci:

  • Mirai koji cilja Linux servere se više ne mora prilagođavati raznolikoj arhitekturi, jednostavno se pretpostavlja da cilj koristi x86
  • Umjesto da se oslanjaju na propagaciju botova, napadači su odlučili iskoristiti exploite. Relativno mali broj napadača koristi prilagođene alate za iskorištavanje Hadoop YARN ranjivosti i isporuku Linux malwarea.
  • Čak i ako Hadoop YARN server ne vrti telnet servis, Mirai bot će pokušati brute-forcati tvorničke postavke putem telneta
  • Linux serveri u podatkovnim centrima imaju pristup većem bandwithu od IoT uređaja u rezidencijalnim mrežama, što ih čini mnogo učinkovitijim DDoS botovima. Nekolicina dobro osposobljenih Linux poslužitelja može generirati napade koji se natječu s mnogo većim IoT botnetom.

Na kraju dana cilj je jednostavan, instalirati zlonamjerni softver na što je moguće više uređaja, a napadačima je mnogo lakše napasti farmu x86 Linux servera nego široku lepezu CPU-ova koji se koriste u IoT uređajima.

S jedne strane, razmislite o zaštiti vaših poslužitelja nekim od sigurnosnih rješenja koje uključuje tzv. virtual patching tehnologiju ali i o korištenju adekvatne DDOS zaštite. Javite nam se za više informacija!

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!