نوع جدیدی از Mirai از دوازده بهره‌بردار جدید برای هدف قرار دادن دستگاه‌های اینترنت اشیاء در شرکت‌ها استفاده کرده است.

محققان امنیتی یک نوع جدید از بات‌نت‌های اینترنت اشیاء از نوع Mirai را کشف کرده‌اند[۱] که این بار دستگاه‌های تعبیه‌شده برای استفاده در محیط‌های تجاری را در تلاش برای به دست آوردن کنترل پهنای باند بیشتر برای انجام حملات ویرانگر DDoS موردحمله قرار دادند[۲].

اگرچه سازندگان اصلی[۳] بات‌نت Mirai قبلاً دستگیرشده و زندانی ‌شده‌اند[۴]، انواع مختلفی از این دژافزار اینترنت اشیاء[۵و۶]، ازجمله Satori و Okiru، به دلیل در دسترس بودن منبع کد[۷] آن در اینترنت از سال ۲۰۱۶، در حال ظهور هستند.

Mirai اولین بار در سال ۲۰۱۶ به وجود آمد[۸]. Mirai یک دژافزار از نوع بات‌نت و مربوط به اینترنت اشیاء است که به‌خوبی شناخته شده است و توانایی آلوده کردن روترها و دوربین‌های امنیتی، DVR ها و دیگر دستگاه‌های هوشمند را دارد که معمولاً از تنظیمات پیش‌فرض استفاده می‌کنند و نسخه‌های قدیمی لینوکس را اجرا می‌کنند و دستگاه‌های متخلف را تحت کنترل خود می‌گیرند تا یک بات‌نت را تشکیل دهند، که پس‌ازآن برای انجام حملات DDoS مورداستفاده قرار می‌گیرند[۹].

نوع جدیدی از Mirai دستگاه‌های اینترنت اشیاء شرکت‌های بزرگ را مورد هدف قرار داده است.

در حال حاضر، محققان Palo Alto Network Unit 42 جدیدترین نوع Mirai را کشف کرده‌اند که برای اولین بار دستگاه‌های متمرکز سازمانی را مورد هدف قرار داده است، ازجمله سیستم‌های WePresent WiPG-1000 Wireless Presentation و تلویزیون‌های LG Supersign.

این نوع جدید Mirai در حقیقت ۱۱ بهره‌بردار جدید را به multi-exploit battery اضافه می‌کند که مجموعاً ۲۷ بهره‌بردار می‌شود و همچنین یک مجموعه جدید از «اطلاعات حساب کاربری پیش‌فرض غیرمعمول» برای استفاده در حملات brute force علیه دستگاه‌های متصل به اینترنت.

محققان Unit 42 در یک وبلاگ در تاریخ ۱۸ مارس ۲۰۱۹ دراین‌باره گفتند[۱۰]: “این ویژگی‌های جدید، یک سطح حمله بسیار بزرگ را در اختیار بات‌نت مربوطه قرار می‌دهند. به‌طور خاص، هدف قرار دادن لینک‌های سازمانی دسترسی به پهنای باندهای بیشتر را فراهم می‌کند و درنهایت باعث افزایش قدرت شلیک برای بات‌نت مربوطه برای حملات DDoS می‌شود.”

درحالی‌که یک بهره‌بردار اجرای کد از راه دور برای تلویزیون‌های LG Supersign  (CVE-2018-17173) در ماه سپتامبر سال گذشته در دسترس قرار گرفته بود، کد این حمله با بهره‌برداری از یک آسیب‌پذیری تزریق دستور در WePresent WiPG-1000 در سال ۲۰۱۷ منتشر شد.

علاوه بر این دو بهره‌بردار، این نوع جدید Mirai همچنین انواع مختلف از سخت‌افزارهای جاسازی‌شده مانند مواردی که در زیر آمده است را هدف قرار داده است:

• روترهای Linksys
• روترهای ZTE
• روترهای DLink
• دستگاه‌های ذخیره‌سازی شبکه
• NVR ها و دوربین‌های IP دار

پس از اسکن کردن و شناسایی دستگاه‌های آسیب‌پذیر، این دژافزار نوع جدید payload مربوط به  Miraiرا از یک وب‌سایت در معرض خطر بارگیری می‌کند و آن را روی یک دستگاه هدف قرار می‌دهد و سپس به شبکه بات‌نت مربوطه اضافه می‌شود و درنهایت می‌تواند برای راه‌اندازی HTTP Flood DDoS ها استفاده شود.

Mirai یک بات‌نت بدنام است که مسئول برخی از حملات DDoS بسیار بزرگ است ازجمله آن‌هایی که در برابر ارائه‌دهنده میزبانی وب در فرانسه و سرویس Dyn بودند[۱۱] که برخی از بزرگ‌ترین سایت‌های دنیا را ازجمله توییتر، Netflix، آمازون و Spotify را فلج کردند[۱۲].

حملات مبتنی بر Mirai پس‌ازاینکه فردی منبع کد این دژافزار را در ماه اکتبر سال ۲۰۱۶ منتشر کرد[۱۳]، به میزان زیادی افزایش پیدا کردند[۱۴] چراکه به مهاجمان امکان ارتقاء تهدیدات مخرب را با بهره‌برداری‌های جدید منتشرشده با توجه به نیازها و اهداف خود می‌دهند.

محققان گفتند: این تحولات جدید بر اهمیت شرکت‌ها برای آگاهی از دستگاه‌های اینترنت اشیاء در شبکه خود، تغییر کلمه‌های عبور پیش‌فرض و اطمینان از اینکه دستگاه‌ها به‌طور کامل به‌روزرسانی شدند را برجسته می‌کند.

“و در مورد دستگاه‌هایی که نمی‌توان آن‌ها را وصله کرد باید این دستگاه‌ها را از شبکه به‌عنوان آخرین راه‌حل موجود، جدا کرد.”

اطمینان حاصل کنید که کلمات عبور پیش‌فرض را برای دستگاه‌های متصل به اینترنت خود به‌محض اینکه آن‌ها را به خانه یا محل کار خود منتقل کردید، تغییر دهید و همیشه آن‌ها را با وصله‌های امنیتی جدید به‌روز نگه دارید.

منابع

[۱] https://apa.aut.ac.ir/?p=4901

[۲] https://apa.aut.ac.ir/?p=3572

[۳] https://thehackernews.com/2017/12/hacker-ddos-mirai-botnet.html

[۴] https://thehackernews.com/2018/09/mirai-botnet-fbi-cybercrime.html

[۵] https://apa.aut.ac.ir/?p=3345

[۶] https://apa.aut.ac.ir/?p=3425

[۷] https://thehackernews.com/2016/10/mirai-source-code-iot-botnet.html

[۸] https://thehackernews.com/2016/09/ddos-attack-iot.html

[۹] https://thehackernews.com/2016/10/iot-dyn-ddos-attack.html

[۱۰]https://unit42.paloaltonetworks.com/new-mirai-variant-targets-enterprise-wireless-presentation-display-systems

[۱۱] https://thehackernews.com/2016/10/ddos-attack-mirai-iot.html

[۱۲] https://thehackernews.com/2016/10/dyn-dns-ddos.html

[۱۳] https://thehackernews.com/2016/10/mirai-source-code-iot-botnet.html

[۱۴] https://thehackernews.com/2017/11/mirai-botnet-zyxel.html

[۱۵] https://thehackernews.com/2019/03/mirai-botnet-enterprise-security.html