| 0 |
|
ПО Mirai, ответственное за создание крупнейших из известных ботнетов на базе устройств IoT, продолжает эволюционировать, противодействуя попыткам их заблокировать, предпринимаемым ведущими специалистами в информационной безопасности.
В этом месяце эксперты NetLab открыли вариант Mirai, использовавший вместо жестко прошитых в исходниках имен доменов алгоритм DGA (Domain Generation Algorithm).
Обычно DGA применяется только в наиболее высокоуровневом вредоносном ПО, таком как банковские трояны, сложные инструменты кибершпионажа или продвинутые линейки ransomware (Locky или CryptoLocker). Этот запутанный алгоритм генерирует с определенной периодичностью произвольные имена доменов, которые используются для связи инфицированных устройств с командными (C&C) серверами Mirai, организующими DDoS-атаки.
Только автор знает как работает его DGA и может заблаговременно купить соответствующие домены. Для правоохранительных органов практически невозможно этому помешать, поскольку такая задача требует высокого уровня координации с регистрами доменов и фирмами информационной безопасности.
В этом конкретном случае, NetLab удалось оперативно взломать DGA в Mirai Botnet #14. В блоге китайские эксперты подробно рассказали как работает этот алгоритм и выложили все домены, на которые данный вариант Mirai (стоявший за нашумевшими атаками на либерийских провайдеров и на 900 тыс. серверов Deutsche Telekom) должен был перейти в ближайшие недели.
Авторы Mirai немедленно отреагировали, убрав DGA. Хакер, известный под псевдонимом BestBuy, заявил, что использование генератора доменов было временной мерой, позволившей им в критический период 4-10 декабря сохранить контроль над Botnet #14 и подготовить более эффективный способ противостояния деятельности команд ИТ-безопасности.
Речь идёт о переносе C&C-серверов ботнетов в анонимную сеть Tor – возможность, которая впервые обсуждалась ещё в 2010 г. на конференции Defcon 18. «Нам больше не надо платить тысячи интернет-провайдерам и за хостинг. Все что требуется это один надёжный сервер, – пишет BestBuy. – Попробуйте отключить 'домены' .onion в сети Tor».
Впрочем, заявление BestBuy пока не получило подтверждения. Никто ещё не сообщил об обнаружении варианта Mirai/Tor и многие вообще сомневаются, что устройствам IoT хватит физических ресурсов для запуска программных пакетов Tor.
Так это или нет, однако несмотря на все усилия правоохранительных органов крупнейшая сеть Botnet #14 продолжает оставаться активной, создавая угрозу высокопрофильных атак в самый разгар сезона рождественских продаж.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
