Ny botnet attack “sätter andra IoT botnät till skam”
en destruktiv ny botnet som äventyrar utsatta Internet of Things (IoT) enheter och kapar sina resurser för att utföra förödande distribuerad Denial of Service (DDoS) attacker rapporteras av säkerhetsforskningsföretaget Bitdefender. IoT botnet, som företaget heter “dark_nexus”, har nyligen hittats i naturen och tar innovativa och farliga nya metoder för att framgångsrikt attackera IT-infrastruktur.
se: Cybersecurity: Let ‘ s get tactical (free PDF) (TechRepublic)
“vår analys har fastställt att även om dark_nexus återanvänder en del Qbot-och Mirai-kod, är dess kärnmoduler mestadels ursprungliga”, sa Bitdefender i ett 22-sidigt vitbok som släpptes den 8 April om attackerna, “nya dark_nexus IoT Botnet sätter andra på skam.”Medan vissa av dess funktioner kan delas med tidigare kända IoT-botnät, gör det sätt på vilket några av dess moduler har utvecklats dark_nexus betydligt mer potent och robust, säger rapporten.
” till exempel sammanställs nyttolaster för 12 olika CPU-arkitekturer och levereras dynamiskt baserat på offrets konfiguration”, samtidigt som man använder en teknik som är avsedd att säkerställa” överlägsenhet ” på den komprometterade enheten, enligt rapporten. “Unikt använder dark_nexus ett poängsystem baserat på vikter och tröskelvärden för att bedöma vilka processer som kan utgöra en risk. Detta innebär att upprätthålla en lista över vitlistade processer och deras perimeter intrångsdetekteringssystem (PID) och döda alla andra processer som passerar ett tröskelvärde för misstankar.”
dark_nexus botnet, som omfattar minst 1 352 bots, utvecklades tydligen av en känd botnetförfattare som har sålt DDoS-tjänster och botnetkod i flera år online till andra angripare för vinst.
Bogdan Botezatu, chef för hotforskning och rapportering för Bitdefender, sa att DDoS-attacker som lanserats av detta botnet kan tillåta angripare att kontrollera kapade enheter genom att be alla komprometterade enheter i botnet att samtidigt besöka en webbsida eller webbtjänst, vilket kan krossa den servern under arbetsbelastningen.
“offren kommer inte ens att vara medvetna om att deras enheter används som vapen mot oskyldiga mål på internet, även om resultaten kan vara katastrofala för offren eller för att internet ska fungera korrekt,” sade Botezatu. “Typexempel, 2016, använde en grupp tonåringar kapade IoT-enheter för att starta en förödande attack mot kärninfrastruktur på internet som störde internet i USA i ungefär en dag, knackade Fortune 500-företag offline och orsakade ekonomisk förlust som är omöjlig att uppskatta.”
DDoS-attackerna kan startas mot servrar, tjänster eller nätverk för att översvämma dem med trafik och ta ner deras typiska operationer.
dark_nexus botnet marknadsförs för försäljning på YouTube, med annonserade priser så låga som cirka $18.50 per månad för 2,500 sekunder av starttid, sa han. För ungefär $99 per månad kan angripare köpa obegränsad åtkomst, vilket gör botnet tillgängligt för alla med $20 och ganska grundläggande datorkunskaper för att starta egna störningar.
“IoT botmasters kommer i direkt konkurrens med varandra, och de driver innovation för att kompromissa med enheter, upprätthålla uthållighet och förbli konkurrenskraftiga på marknaden”, säger Botezatu. “De kommer med bättre infektionsmekanismer än konkurrenter, bättre marknadsföringstekniker och lägre hyrespriser, vilket gör DDoS överkomligt för alla.”
för att bekämpa attacker från dark_nexus botnet måste konsumenter och företag ständigt granska sina interna nätverk för att identifiera anslutna IoT-enheter och köra sårbarhetsbedömningar för att upptäcka oöverträffade eller felkonfigurerade enheter innan angripare gör det, sade Botezatu. “Eftersom IoT-standarder och regler sannolikt är år bort är det IoT-konsumenten som bär ansvaret för sin infrastruktur.”
den globala bristen på nödvändiga IoT-säkerhetsstandarder, som skulle härda IoT-enheter och göra dem mindre sårbara för attacker, är ett stort misslyckande i branschen och gör det möjligt för dessa typer av botnetattacker att bli framgångsrika och lukrativa för hackare.
se: säkra IoT i din organisation: 10 best practices (gratis PDF) (TechRepublic)
under tiden kan sådana attacker stoppas genom användning av IoT-säkerhetsapparater som kan rikta och försvara sådana attacker på nätverksnivå genom att upptäcka avvikande trafik och genom användning av kontinuerligt patchade enheter som effektivt immuniserar system från framgångsrika intrång, sa han. Användare kan också skydda sina system genom att inaktivera Telnet-och SSH-portar som standard.
“tyvärr, eftersom de flesta IoT-leverantörer ser cybersäkerhet som en eftertanke, fortsätter IoT-botnät att trivas, växa och påverka organisationer, vilket skapar betydande förlust av drift och stillestånd”, sa han.
tidigare versioner av den ungefär 3 månader gamla dark_nexus använde exploater för förökning, men nu sprider botnet enbart med brute force med Telnet-protokollet, sade Botezatu. “Det här är låghängande frukt eftersom det ger det största antalet överträdelser med lägsta kostnad och ansträngning”, sa han.
se: Brute force och ordbok attacker: Ett fuskblad (gratis PDF) (TechRepublic)
mer än 50 procent av dessa bots har sitt ursprung i Kina, Korea och Thailand, sade Botezatu. “Den här listan innehåller några ovanliga kombinationer som vi inte tidigare sett i bruk av bots, vilket enligt vår mening föreslår att författaren till dark_nexus anstränger sig för att sammanställa den. Botnet verkar inte rikta in sig på några IP-områden i synnerhet, snarare fungerar den slumpmässiga generationsfunktionen med en svartlista som liknar Mirai.”
se även
- hur man blir en cybersecurity pro: Ett fuskblad (TechRepublic)
- Mastermind con man bakom Catch Me If You Can talks cybersecurity (TechRepublic download)
- Windows 10 security: en guide för företagsledare (TechRepublic Premium)
- online security 101: Tips för att skydda din integritet från hackare och spioner (ZDNet)
- alla VPN-termer du behöver veta (CNET)
- cybersäkerhet och Cyberwar: mer måste-läs täckning (Techrepublic på blädderblock)
