新しいボットネット攻撃”恥に他のIoTボットネットを置きます”
脆弱なモノのインターネット(IoT)デバイスを侵害し、壊滅的な分散サービス拒否(DDoS)攻撃を実行するためにリソースをハイ 同社が”dark_nexus”と命名したIoTボットネットは、最近野生で発見され、ITインフラストラクチャを正常に攻撃するための革新的で危険な新しいアプローチを取っています。
参照: Cybersecurity:let’s get tactical(free PDF)(TechRepublic)
「当社の分析では、dark_nexusはいくつかのQbotとMiraiコードを再利用していますが、そのコアモジュールはほとんどオリジナルであると判断しました」とbitdefenderは4月8日に発表された22ページのホワイトペーパーで、攻撃について「新しいdark_nexus IoTボットネットは、他の人を恥にしています。”その機能のいくつかは、以前に知られているIoTボットネットと共有することができますが、そのモジュールのいくつかが開発されている方法は、dark_nexusを大幅に強力かつ堅牢にする、と報告書は述べています。
“例えば、ペイロードは12種類のCPUアーキテクチャ用にコンパイルされ、被害者の設定に基づいて動的に配信されます”と同時に、侵害されたデバイスの”覇権”を確実にするための技術も使用しています。 “Dark_nexusは、どのプロセスがリスクをもたらす可能性があるかを評価するために、重みとしきい値に基づくスコアリングシステムを使用しています。 これには、ホワイトリストに登録されたプロセスとその境界侵入検知システム(Pid)のリストを維持し、疑いの閾値を超える他のすべてのプロセスを”
少なくとも1,352個のボットで構成されるdark_nexusボットネットは、明らかに、DDoSサービスとボットネットコードを何年もオンラインで他の攻撃者に利益のために販売してきた既知のボットネット作成者によって開発された。
Bitdefenderの脅威調査-報告担当ディレクターであるBogdan Botezatu氏は、このボットネットによって開始されたDDoS攻撃は、ボットネット内のすべての侵害されたデバイスにwebページまたはwebサービスを同時に訪問するように求めることにより、攻撃者がハイジャックされたデバイスを制御できると述べた。
「被害者は、たとえ被害者やインターネットの適切な機能のために壊滅的な結果になる可能性があったとしても、自分のデバイスがインターネット上の無害な標的に対する武器として使用されていることを認識することさえないだろう」とBotezatuは語った。 「2016年には、10代の若者のグループがハイジャックされたIoTデバイスを使用して、約1日の間、米国のインターネットを破壊し、Fortune500企業をオフラインでノックし、推定することは不可能な財務上の損失を引き起こしたインターネットのコアインフラストラクチャに対する壊滅的な攻撃を開始しました。”
DDoS攻撃は、サーバー、サービス、またはネットワークに対して開始され、トラフィックでそれらを殺到させ、彼らの典型的な操作をダウンさせることができます。
Dark_nexusボットネットはYouTubeでの販売のために宣伝されており、宣伝されている価格は月額約.18.50で、起動時間は2,500秒であると彼は述べた。 約$99月のために、攻撃者はbot20と自分の混乱を起動するためにかなり基本的なコンピュータスキルを持つ誰にでもボットネットにアクセスできるように、無制限のアクセスを購入することができます。
“IoT botmastersは互いに直接競争し、デバイスを妥協し、永続性を維持し、市場で競争力を維持することで革新を推進しています」とBotezatu氏は述べています。 “彼らは、競合他社よりも優れた感染メカニズム、より良いマーケティング技術、そして誰にとっても手頃な価格のDDoSを作るレンタル価格を思い付く。”
dark_nexusボットネットからの攻撃と戦うために、消費者と企業は、攻撃者が行う前に、接続されたIoTデバイスを識別し、脆弱性評価を実行して、パッチが適用されていないか、設定されていないデバイスを発見するために、内部ネットワークを常に監査しなければならない、とBotezatuは述べています。 「IoTの標準と規制は数年先にある可能性が高いため、インフラストラクチャの責任を負うのはIoTの消費者です。”
IoTデバイスを強化し、攻撃に対する脆弱性を低くするために必要なIoTセキュリティ基準のグローバルな欠如は、業界では大きな失敗であり、ハッカーに
参照:組織内のIoTのセキュリティ保護: 10ベストプラクティス(free PDF)(TechRepublic)
一方、このような攻撃は、異常なトラフィックを検出することによってネットワークレベルでこのような攻撃を標的とし、防御することができるIoTセキュリティアプライアンスの使用、および成功した侵入からシステムを効果的に免疫する継続的にパッチを適用したデバイスの使用によって停止することができると彼は述べている。 ユーザーは、デフォルトでTelnetおよびSSHポートを無効にすることで、システムを保護することもできます。
“残念なことに、ほとんどのIoTベンダーはサイバーセキュリティを付け足しと見なしているため、IoTボットネットは繁栄し、成長し、組織に影響を与え続け、運用とダウンタイムの大幅な損失を生み出している”と彼は語った。
以前のバージョンの約3ヶ月前のdark_nexusは伝播のためにエクスプロイトを使用していましたが、現在ではボットネットはTelnetプロトコルを使用してブルートフォースによってのみ伝播しています、とBotezatuは言いました。 「これは、コストと労力を最小限に抑えて、最大数の違反を提供するため、低吊りの果実です」と彼は言いました。
参照:ブルートフォースと辞書攻撃: チートシート(無料PDF)(TechRepublic)
これらのボットの50%以上が中国、韓国、タイで発生している、とBotezatuは述べています。 “このリストには、これまでボットで使用されていなかったいくつかの珍しい組み合わせが含まれています。dark_nexusの著者がそれをコンパイルするために ボットネットは特にIP範囲をターゲットにしているようには見えず、むしろランダム生成機能はMiraiと同様のブラックリストを使用して動作します。”
も参照してください
- サイバーセキュリティプロになる方法: チートシート(TechRepublic)
- あなたが話すことができれば私をキャッチの背後にある首謀者詐欺男(TechRepublicダウンロード)
- Windows10セキュリティ:ビジネスリーダーのためのガイド(TechRepublicプレミアム)
- オンラインセキュリティ101:ハッカーやスパイからあなたのプライバシーを保護するためのヒント(ZDNet)
- あなたが知っておく必要があるすべてのVPN用語(TECHREPUBLICダウンロード)(TECHREPUBLICダウンロード)
- Windows10セキュリティ:ビジネスリーダーのためのガイド(techrepublicプレミアム)
- オンラインセキュリティ101:ハッカーやスパイからあなたのプライバシーを保護するためのヒント(ZDNet)
- cnet)
- サイバーセキュリティとサイバー戦争:より多くの必読カバレッジ(techrepublic on flipboard)
