Billede: Citrix
×
verden-kort-globe-ddos.png
Overskrifter som “tingenes internet botnet mål virksomheden enheder,” lyder meget skræmmende, men virkeligheden er, at mange af disse botnets er det arbejde, børnene leger rundt med tilfældige udnytter de findes online, og mange af disse botnets dø ud i løbet af få uger, som forfatterne keder sig eller gå videre til andre projekter.
Det bedste eksempel på dette er Kepler, en tingenes internet botnet, der gjorde nyheden i sidste måned på grund af sin evne til at inficere skiltning Tv og præsentation systemer, to typer af enheder, der findes i virksomhedens netværk.
På en første læs, nogen rapport om Kepler ville synes ligesom botnet forfatter var med vilje sigter mod at få fodfæste på virksomhedernes netværk, så de senere kunne implementere mere potent malware.
Kepler forfattere: Vi var bare have det sjovt!
Men det er faktisk ikke så. I et optaget interview med Ankit Anubhav, sikkerhedsekspert for Nevskij Sikkerhed, og som er offentliggjort på Soundcloud, botnet er to forfattere, indrømmede, at de byggede botnet for sjov, tilføjer udnytter taget fra ExploitDB hjemmeside tilfældigt.
“Vi er bare et par venner, have det sjovt,” sagde de to, før indrømme, at dette faktisk var den anden botnet de sættes sammen, også efter at skabe et sidste år.
På trods af Kepler generere nogle skræmmende overskrifter, duoen ikke tage arbejde på deres botnet alvorligt, og indrømmede at de ikke engang gider at tælle antallet af enheder, deres botnet-inficerede.
Yderligere, botnet ikke bruge 27 exploits, som Palo Alto Networks, der oprindeligt har indberettet, men 43, i henhold til Nipsu, en af Kepler-forfattere-alle, selvfølgelig, vælges tilfældigt.
Ifølge de interview, at de to hackere, hvoraf den ene er en mindre, var bare test tilfældige udnyttelse af sårbarhed, der ønsker at se som en samlet flere bots.
De to sagde, at de ikke har aktuelle planer om at sælge Kepler-botnet til andre it-kriminalitet bander eller leje det for DDoS-angreb-en fælles praksis, og som en kilde til profit for mange IoT-botnet forfattere.
Kepler er en tendens, ikke en kant sag
Disse åbenbaringer er ikke bare et isoleret kant tilfældet i IoT-botnet-scene. Mange botnet forfattere er bare børn, der tager deres første skridt i verden af teknologi cybersecurity, at spille rundt med exploits, før realisere det juridiske problem, at de kunne være i, og bevæger sig videre til andre karriere-eller blive arresteret [1, 2].
En stor del af IoT-botnet-operatører, der er anført på denne Top 20 IoT Blackhat Hackere liste har nu bevæget sig fra at køre IoT botnets.
En af dem, Switch (#15 på listen), der tilbydes af sin viden om den nuværende tingenes internet botnet scene. Spurgt om, hvor let det ville være at integrere kode taget fra ExploitDB ind i et botnet, Skifte, der er forfatter af mange YouTube tutorials på at opbygge IoT malware, gav følgende svar.
“Hvis du taler auto scannere som [dem på udkig efter] Huawei, Realtek, ThinkPHP osv., det er MEGET nemt,” Switch sagde. “Der er kun et par linjer af kode til den. Jeg har lavet en tutorial på hvordan man gør det, da det kun tager et par minutter.”
“Jeg har set et par folk skriver scannere [for sårbare enheder] i kilder før, og ved hvad jeg kan se, er det primært at kopiere og indsætte,” sagde han.
Anubhav, en sikkerhedsekspert, der bruger hele sin dag ser man på IoT botnet, at også aktier Skifte mening.
“De fleste af IoT-exploit-kode er stærkt lånt fra ExploitDB,” Anubhav sagde.
“I mange tilfælde, sårbarheder er ikke i stand til at inficere en masse enheder, og dermed de angribere forsøger så mange sårbarheder, som de kan, for at yderligere at vurdere, hvilke man kommer til at høste flest mulige fordele.”
Det er et Mirai/Gafgyt party
Men udover Kepler, et andet nyligt eksempel på en IoT botnet, der er ikke så farligt som det ser ud er det en dokumenteret af Trend Micro i denne uge.
Dette botnet, som ikke har nogen bestemt navn, som kører på en variant af den Bashlite (Gafgyt) IoT-malware, som anvendes som et skelet og tilpasset med flere ExploitDB udnytter på toppen-som i dette tilfælde målrettet Belkin WeMo enheder.
Anatomi af dette botnet er repræsentativ for hele IoT malware scene i disse dage. Botnet operatører bruge kildekoden af IoT-malware, der tidligere lækket på nettet i forgangne år som en wireframe for levering af tilfældige udnytter de har kopieret fra ExploitDB.
I de fleste tilfælde, disse botnets er bygget på Bashlite (Gafgyt) eller Mirai IoT malware stammer, og kun meget sjældent har en ægte malware koder, der kommer rundt for at innovere og skabe nye malware stammer –såsom hackere som Onde eller Janit0r (BrickerBot forfatter).
Relaterede malware og it-kriminalitet dækning:
Over 58,000 Android-brugere havde stalkerware installeret på deres telefoner i sidste yearA dusin AMERIKANSKE web-servere er spredning 10 malware familier, Necurs link suspectedAsian kvinde med en tommelfinger drev, der indeholder malware anholdt på Mar-a-LagoBashlite IoT malware opgradering lader det mål WeMo home automation devicesFacebook lukker grupper, der tilbydes phishing-tjenester, hacket data for saleHacker gruppe har været kapring DNS trafik på D-Link routere til tre måneder, Hvor de Forenede Nationers hjælper med at bekæmpe globale it-kriminalitet TechRepublicApple fjernet populære app, der blev hemmeligt at stjæle din browser historie CNET
Relaterede Emner:
Tingenes Internet
Sikkerhed-TV
Data Management
CXO
Datacentre