En strategi, der bruges af ondsindede angribere til at opskalere deres cyberangreb, er brugen af botnets.
Et botnet er et netværk af computere, der er blevet inficeret med malware og er fjernstyret af en ondsindet aktør. Sådan en ondsindet aktør, der kontrollerer en gruppe inficerede computere, kaldes en bot-hyrde. Individuelle inficerede enheder omtales som bots.
Bothyrder kommanderer og kontrollerer gruppen af inficerede computere, hvilket giver dem mulighed for at udføre cyberangreb i meget større skala. Botnets er blevet brugt fremtrædende i storstilet lammelsesangreb, phishing, spammingangreb og datatyveri.
Et eksempel på malware, der siden er blevet kendt for at kapre digitale enheder for at skabe meget store botnets, er Mirai Botnet-malwaren. Mirai er en botnet-malware, der retter sig mod og udnytter sårbarheder i Internet of Things (IoT)-enheder, der kører Linux.
Efter infektion kaprer Mirai IoT-enheden og gør den til en fjernstyret bot, der kan bruges som en del af et botnet til at starte massive cyberangreb. Mirai blev skrevet ved hjælp af C og GO.
Malwaren vandt frem i 2016, da den blev brugt i et distribueret denial of service (DDOS) angreb på DYN, en Domain Name System-udbyder. Angrebet forhindrede internetbrugere i at få adgang til sider som Airbnb, Amazon, Twitter, Reddit, Paypal og Visa, blandt andre.
Mirai malware var også ansvarlig for DDOS-angreb på cybersikkerhedssiden Krebs on Security og det franske cloud computing-firma OVHCloud.
Indholdsfortegnelse
Hvordan Mirai blev skabt
Mirai-malwaren blev skrevet af Paras Jha og Josiah White, som på det tidspunkt var studerende i begyndelsen af 20’erne og også grundlæggerne af ProTraf Solutions, et firma, der tilbød DDOS-reduktionstjenester. Mirai Malware blev skrevet ved hjælp af programmeringssprogene C og Go.
I første omgang var deres mål for Mirai at fjerne konkurrerende Minecraft-servere ved hjælp af DDOS-angreb, så de kunne få flere kunder ved at gøre op med konkurrenterne.
Deres brug for Mirai skiftede derefter til afpresning og afpresning. Duoen ville lancere DDOS-angreb på virksomheder og derefter nå ud til de virksomheder, de havde angrebet, for at tilbyde DDOS-reduktioner.
Mirai Botnet fangede myndighedernes og cybersikkerhedssamfundets opmærksomhed, efter at det blev brugt til at fjerne webstedet Krebs on Security og dets angreb på OVH. Da Mirai Botnet begyndte at skabe overskrifter, lækkede skaberne kildekoden til Mirai Botnet på et offentligt tilgængeligt hackingforum.
Dette var sandsynligvis et forsøg på at dække deres spor og undgå at blive holdt ansvarlig for DDOS-angrebene udført ved hjælp af Mirai Botnet. Kildekoden til Mirai Botnet blev taget op af andre cyberkriminelle, og dette førte til skabelsen af varianter af Mirai Botnet såsom Okiru, Masuta og Satori og PureMasuta.
Skaberne af Mirai Botnet blev dog senere fanget af FBI. De blev dog ikke fængslet og fik i stedet lettere domme, fordi de samarbejdede med FBI om at fange andre cyberkriminelle og forhindre cyberangreb.
Hvordan Mirai Botnet virker
Et angreb fra Mirai Botnet involverer følgende trin:
Det er værd at bemærke, at Mirai Botnet kom med IP-områder, som det ikke målrettede eller inficerede. Dette inkluderer private netværk og IP-adresser, der er tildelt det amerikanske forsvarsministerium og United States Postal Service.
Typer af enheder målrettet af Mirai Botnet
Det primære mål for Mirai Botnet er IoT-enheder, der bruger ARC-processorer. Ifølge Paras Jha, en af forfatterne af Mirai-bot, var de fleste af de IoT-enheder, der var inficeret og brugt af Mirai Botnet, routere.
Listen over potentielle ofre for Mirai Botnet inkluderer dog andre IoT-enheder, der bruger ARC-processorer.
Dette kunne omfatte smarte hjemmeenheder såsom sikkerhedskameraer, babyalarmer, termostater og smart-tv’er, bærbare enheder såsom fitness-trackere og ure og medicinske IoT-enheder såsom glukosemonitorer og insulinpumper. Industrielle IoT-enheder og medicinske IoT-enheder, der bruger ARC-processorer, kan også være ofre for Mirai-botnettet.
Sådan opdager du en Mirai Botnet-infektion
Mirai Botnet er designet til at være snigende i sit angreb, og det er derfor ikke nogen nem opgave at opdage, at din IoT-enhed er inficeret med Mirai Botnet. Der er dog ikke lette at opdage. Se dog efter følgende indikatorer, som kan signalere en mulig Mirai Botnet-infektion på din IoT-enhed:
- Langsom internetforbindelse – Mirai botnet kan få dit internet til at blive langsommere, da dine IoT-enheder bruges til at starte DDOS-angreb.
- Usædvanlig netværkstrafik – Hvis du regelmæssigt overvåger din netværksaktivitet, vil du muligvis bemærke en pludselig stigning i netværkstrafik eller anmodninger, der sendes til ukendte IP-adresser
- Reduceret enhedsydelse – Din IoT-enhed, der yder suboptimalt eller udviser usædvanlig adfærd, såsom at lukke ned eller genstarte på egen hånd, kan være en indikator for en mulig Mirai-infektion.
- Ændringer i enhedskonfigurationer – Mirai Botnet foretager muligvis ændringer i dine IoT-enheders indstillinger eller standardkonfigurationer for at gøre enhederne nemmere at udnytte og kontrollere i fremtiden. Hvis du bemærker ændringer i konfigurationerne af dine IoT-enheder, og du ikke er ansvarlig for dem, kan det pege på en mulig Mirai Botnet-infektion.
Selvom der er tegn, du kan holde øje med for at vide, om din enhed er blevet inficeret, kan du til tider ikke nemt lægge mærke til dem, blot fordi Mirai Botnet er lavet på en sådan måde, at det gør det meget svært at opdage. Som et resultat er den bedste måde at håndtere det på at forhindre Mirai Botnet i at inficere dine IoT-enheder.
Men hvis du har mistanke om, at en IoT-enhed er blevet opdaget, skal du afbryde den fra netværket og først tilslutte enheden igen, efter at truslen er blevet elimineret.
Sådan beskytter du dine enheder mod Mirai Botnet-infektion
Mirai Botnets nøglestrategi til at inficere IoT-enheder er at teste en masse velkendte standardkonfigurationer for at se, om brugerne stadig bruger standardkonfigurationerne.
Hvis det er tilfældet, logger Mirai på og inficerer enhederne. Derfor er et vigtigt skridt i at beskytte dine IoT-enheder mod Mirai Botnet at undgå brugen af standardbrugernavne og adgangskoder.
Sørg for at ændre dine legitimationsoplysninger og brug adgangskoder, der ikke let kan gættes. Du kan endda bruge en tilfældig adgangskodegenerator til at få unikke adgangskoder, der ikke kan gættes.
Et andet skridt, du kan tage, er regelmæssigt at opdatere din enheds firmware og også installere sikkerhedsrettelser, når de frigives. Virksomheder udgiver ofte sikkerhedsrettelser, hvis der opdages sårbarheder i deres enheder.
Derfor kan installation af sikkerhedsrettelser, når de frigives, hjælpe dig med at være på forkant med angribere. Hvis din IoT-enhed har fjernadgang, så overvej også at deaktivere den, hvis du ikke har brug for den funktionalitet.
Andre foranstaltninger, du kan tage, omfatter regelmæssig overvågning af din netværksaktivitet og segmentering af dit hjemmenetværk, således at IoT-enheder ikke er forbundet til kritiske netværk derhjemme.
Konklusion
Selvom skaberne af Mirai Botnet blev pågrebet af myndighederne, består risikoen for Mirai Botnet-infektion stadig. Mirai Botnet-kildekoden blev frigivet til offentligheden, og dette førte til skabelsen af dødelige varianter af Mirai Botnet, som målretter mod IoT-enheder og har mere kontrol over enhederne.
Derfor, mens du køber IoT-enheder, bør sikkerhedsfunktionerne, der tilbydes af producenten af enheden, være en vigtig overvejelse. Køb IoT-enheder, der har sikkerhedsfunktioner, der forhindrer mulige malware-infektioner.
Undgå desuden at bruge standardkonfigurationer på dine enheder, og opdater regelmæssigt din enheds firmware og installer alle de nyeste sikkerhedsrettelser, når de frigives.
Du kan også udforske de bedste EDR-værktøjer til hurtigt at opdage og reagere på cyberangreb.