WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Biến thể Mirai thêm nhiều mã khai thác mới, nhắm vào thiết bị IoT doanh nghiệp
Các chuyên gia vừa phát hiện một biến thể mới trong mạng botnet IoT khét tiếng Mirai, lần này nhắm mục tiêu tới các thiết bị sử dụng trong doanh nghiệp. Mã độc tăng cường kiểm soát băng thông lớn hơn để thực hiện các cuộc tấn công DDoS phá hoại.
Mặc dù những kẻ ban đầu tạo ra botnet Mirai đã bị bắt và bỏ tù, các biến thể của mã độc IoT khét tiếng này, bao gồm Satori và Okiru, vẫn tiếp tục xuất hiện do có sẵn mã nguồn trên Internet kể từ 2016.
Xuất hiện lần đầu năm 2016, Mirai được biết đến là mã độc botnet IoT có khả năng lây nhiễm router (bộ định tuyến), camera an ninh, đầu ghi hình DVR và các thiết bị thông minh khác – vốn thường sử dụng thông tin đăng nhập mặc định và chạy các phiên bản lỗi thời của Linux. Từ các thiết bị này, một botnet được tạo thành để tiến hành các cuộc tấn công DDoS.
Biến thể Mirai mới nhắm tới các thiết bị IoT doanh nghiệp
Các chuyên gia Palo Alto Network Unit 42 phát hiện biến thể mới nhất của Mirai lần đầu tiên nhắm mục tiêu vào các thiết bị doanh nghiệp, bao gồm các hệ thống Thuyết trình không dây WePftime WiPG-1000 và các TV LG Supersign.
Biến thể Mirai bổ sung thêm 11 mã khai thác mới, nâng tổng số lên 27, cùng với bộ “thông tin mặc định” mới để sử dụng trong các cuộc tấn công dò tìm mật khẩu nhắm vào các thiết bị kết nối Internet.
“Các tính năng mới này mang lại cho botnet một trường tấn công lớn. Đặc biệt, việc nhắm mục tiêu vào các doanh nghiệp cũng cho phép quyền truy cập băng thông lớn hơn, cuối cùng dẫn đến hỏa lực mạnh hơn cho botnet để tấn công DDoS”, các chuyên gia cho biết.
Trong khi mã khai thác thực thi từ xa đối với TV LG Supersign (CVE-2018-17173) đã xuất hiện từ tháng 9 năm ngoái, đoạn mã khai thác lỗ hổng trong WePftime WiPG-1000 được công khai từ năm 2017.
Ngoài hai mã khai thác này, biến thể Mirai mới cũng đang nhắm mục tiêu vào nhiều thiết bị phần cứng như:
Mirai là mạng botnet khét tiếng chịu trách nhiệm cho một số vụ tấn công DDoS kỷ lục, bao gồm cả các cuộc tấn công nhắm vào nhà cung cấp dịch vụ lưu trữ OVH và Dyn DNS có trụ sở tại Pháp, làm tê liệt một số trang web lớn nhất thế giới, bao gồm Twitter, Netflix, Amazon và Spotify.
Các cuộc tấn công dựa trên Mirai gia tăng đột ngột sau khi mã nguồn được công bố vào tháng 10/2016, cho phép kẻ tấn công nâng cấp mã độc với các mã khai thác mới tùy theo nhu cầu và mục tiêu.
Các chuyên gia cho biết: “Những phát triển [mới] này càng khẳng định tầm quan trọng việc các doanh nghiệp quan tâm hơn tới các thiết bị IoT trên mạng của mình, thay đổi mật khẩu mặc định, đảm bảo rằng các thiết bị được cập nhật đầy đủ các bản vá”.
“Và trong trường hợp các thiết bị không thể vá được, hãy loại bỏ các thiết bị đó khỏi mạng như phương sách cuối cùng”.
Hãy đảm bảo bạn thay đổi mật khẩu mặc định cho các thiết bị được kết nối internet ngay khi mang chúng về nhà hoặc văn phòng và luôn cập nhật đầy đủ các bản vá an ninh mới.
Xuất hiện lần đầu năm 2016, Mirai được biết đến là mã độc botnet IoT có khả năng lây nhiễm router (bộ định tuyến), camera an ninh, đầu ghi hình DVR và các thiết bị thông minh khác – vốn thường sử dụng thông tin đăng nhập mặc định và chạy các phiên bản lỗi thời của Linux. Từ các thiết bị này, một botnet được tạo thành để tiến hành các cuộc tấn công DDoS.
Biến thể Mirai mới nhắm tới các thiết bị IoT doanh nghiệp
Các chuyên gia Palo Alto Network Unit 42 phát hiện biến thể mới nhất của Mirai lần đầu tiên nhắm mục tiêu vào các thiết bị doanh nghiệp, bao gồm các hệ thống Thuyết trình không dây WePftime WiPG-1000 và các TV LG Supersign.
Biến thể Mirai bổ sung thêm 11 mã khai thác mới, nâng tổng số lên 27, cùng với bộ “thông tin mặc định” mới để sử dụng trong các cuộc tấn công dò tìm mật khẩu nhắm vào các thiết bị kết nối Internet.
“Các tính năng mới này mang lại cho botnet một trường tấn công lớn. Đặc biệt, việc nhắm mục tiêu vào các doanh nghiệp cũng cho phép quyền truy cập băng thông lớn hơn, cuối cùng dẫn đến hỏa lực mạnh hơn cho botnet để tấn công DDoS”, các chuyên gia cho biết.
Trong khi mã khai thác thực thi từ xa đối với TV LG Supersign (CVE-2018-17173) đã xuất hiện từ tháng 9 năm ngoái, đoạn mã khai thác lỗ hổng trong WePftime WiPG-1000 được công khai từ năm 2017.
Ngoài hai mã khai thác này, biến thể Mirai mới cũng đang nhắm mục tiêu vào nhiều thiết bị phần cứng như:
- Router Linksys
- Router ZTE
- Router DLink
- Thiết bị lưu trữ mạng
- Đầu ghi hình NVR và camera IP
Mirai là mạng botnet khét tiếng chịu trách nhiệm cho một số vụ tấn công DDoS kỷ lục, bao gồm cả các cuộc tấn công nhắm vào nhà cung cấp dịch vụ lưu trữ OVH và Dyn DNS có trụ sở tại Pháp, làm tê liệt một số trang web lớn nhất thế giới, bao gồm Twitter, Netflix, Amazon và Spotify.
Các cuộc tấn công dựa trên Mirai gia tăng đột ngột sau khi mã nguồn được công bố vào tháng 10/2016, cho phép kẻ tấn công nâng cấp mã độc với các mã khai thác mới tùy theo nhu cầu và mục tiêu.
Các chuyên gia cho biết: “Những phát triển [mới] này càng khẳng định tầm quan trọng việc các doanh nghiệp quan tâm hơn tới các thiết bị IoT trên mạng của mình, thay đổi mật khẩu mặc định, đảm bảo rằng các thiết bị được cập nhật đầy đủ các bản vá”.
“Và trong trường hợp các thiết bị không thể vá được, hãy loại bỏ các thiết bị đó khỏi mạng như phương sách cuối cùng”.
Hãy đảm bảo bạn thay đổi mật khẩu mặc định cho các thiết bị được kết nối internet ngay khi mang chúng về nhà hoặc văn phòng và luôn cập nhật đầy đủ các bản vá an ninh mới.
Theo The Hacker News