Articles

nyt IoT botnet tilbyder Ddoser af en gang utænkelige størrelser til$20

nyt IoT botnet tilbyder Ddoser af engang ufattelige størrelser til $20

arrangører af et nyt botnet, der består af inficerede hjem-og små kontorroutere, sælger modigt denial-of-service-angreb af engang ufattelige mængder for kun $20 pr.

kalder sig Los Calvos de San Calvicie, gruppen annoncerer flere tjenester på denne side. Blandt tjenesterne distribueres denial-of-service-angreb på 290 til 300 gigabits per sekund for $20 hver. Mens en tredjedel af størrelsen på nogle af de største registrerede angreb, er 290Gbps stadig nok til at bringe de fleste steder ned, medmindre de søger DDoS-afbødningstjenester, som i mange tilfælde koster betydelige mængder penge. For bare fem år siden blev 300Gbps betragtet som nok volumen til at lukke Internets kerneinfrastruktur.

Los Calvos de San Calvicie-medlemmer er blevet set samle et botnet i de seneste dage, der meget muligvis har den ildkraft, der kræves for at levere de potente angreb, der er lovet. Ifølge Pascal Geenens, en forsker hos sikkerhedsfirmaet, bygger gruppen botnet ved at udnytte to sårbarheder: den ene i RealTek-routere, der løber ud af dato, og den anden i hg532-routeren, hvor en patch, der blev frigivet i December, endnu ikke er installeret af mange brugere. Begge sårbarheder udnyttes også af et andet Internet-of-things botnet kendt som satori.

i modsætning til de fleste af de IoT-botnet, der er set hidtil, bruger den, der spores af Geenens, en håndfuld på ikke-IoT-servere til at scanne internettet efter sårbare enheder og, når de først er fundet, at udnytte dem. Det gør det meget sværere at estimere antallet af inficerede enheder, der udgør Geenens, fordi de simulerede sårbare routere Geenens bruger i sit laboratorium til at spore botnet se det samme begrænsede antal angrebsservere.

i modsætning hertil er Mirai, Satori, Reaper og andre IoT-botnet afhængige af inficerede enheder for at lokalisere og inficere sårbare enheder. Det gør det muligt for honeypots som Geenens’ at estimere størrelsen på botnet baseret på antallet af IP ‘ er, der udfører scanningen. Navnet “Jennifer” er det navn, som udviklerne gav til den binære, der inficerer sårbare enheder.

Devine Stream

Geenens sagde, at hovedformålet med botnet er at angribe folk, der spiller online-spillet Grand Theft Auto på visse gebyropladningsservere. Det kan igen øge efterspørgslen efter spilhosting ved sancalvicie.com det er det samme domæne, der er vært for command-and-control-serveren. Det annoncerer sig selv som værende modstandsdygtig over for de typer angreb, som Mirai og Jenks bruger til at nedbringe rivaliserende spilværter. Det er også det samme domæne, der reklamerer for DDoS-for-hire-Tjenesterne, som ser ud til at være en sidevirksomhed for spilhosting.

den spansktalende gruppe har døbt sin DDoS-tjeneste Corriente Divina, som oversættes til “guddommelig strøm.”En grov engelsk oversættelse af tjenesten tag linje er” Guds vrede vil blive ansat mod IP, som du giver os.”

se mere

gruppen tilbyder kilde forespørgsel motor oversvømmelser og 32-byte oversvømmelser, som er typer af DDOS-angreb, der er særligt effektive til at bringe ned mange typer af multiplayer gaming tjenester. DDoS-tjenesten inkluderer også en” ned OVH ” -mulighed, en sandsynlig henvisning til den Frankrig-baserede hostingudbyder, der er kendt for at være vært for servere til multi-player-spil, inklusive Minecraft. OVH var et mål i 2016-angrebene, der blev udført af botnets inklusive Mirai, som pummeled skyudbyderen med 1,1 terabits per sekund af junk traffic, en rekord på det tidspunkt. Ironisk nok var Jennifer binary leveret til udnyttede routere i løbet af de sidste par dage vært på en IP-adresse tilhørende OVH, sagde Geenens.

er et eksempel på anden generation af IoT botnets. Ligesom Mirai byder det på det store antal usikrede routere, kameraer og andre netværksaktiverede enheder, der befolker Internettet. Denne forsyning giver botnets formidable mængder distribueret båndbredde, der har den kollektive evne til at lamme store skår af internettet. En svaghed i Mirai var imidlertid dens afhængighed af standardadgangskoder for at tage kontrol over enheder. Når adgangskoderne er ændret—enten af producenter eller enhedsejere—bliver Mirai ineffektiv.

Satori, Reaper og andre IoT-botnet fra anden generation har undgået denne begrænsning ved at udnytte sårbarheder i internetforbundne enheder. Infektionsmekanismen er potentielt meget mere effektiv, fordi de fleste IoT-enheder kører Liniebaseret firma, der generelt er forældet på forsendelsestidspunktet. Mange enheder kan slet ikke opdateres. Mange andre, der kan opdateres, er uoverkommeligt vanskelige for de fleste at gøre. Det efterlader anden generation af IoT-botnets med millioner af enheder til at overtage ved hjælp af pålidelige udnyttelser, der ofte er tilgængelige online.

annonce

Jenks er forskellig fra de fleste IoT-botnet, fordi den som nævnt tidligere er afhængig af centraliserede servere for at søge og udnytte sårbare enheder. Det betyder, at dens vækstrate sandsynligvis forbliver konstant. I en e-mail, Geenens skrev:

potentialet for dette botnet kan sammenlignes med satori, da det bruger nøjagtigt de samme udnyttelser. Vækstraten for denne bot vil dog ikke være så høj som Satori, fordi Satori bruger bots, som hver scanner og udnytter af sig selv—så flere bots, flere scannere, flere ofre, endnu flere bots, endnu flere scannere osv…. så eksponentiel vækstrate for Mirai, Satori og Reaper botnets. Botnet bruger servere til scanning og udnyttelse af enheder, så væksten vil være mindre end lineær. Ved at tilføje flere servere kan de få det til at vokse hurtigere, men vil aldrig være så effektivt og aggressivt som Mirai, satori og Reaper.

Geenens har offentliggjort en komplet rapport om sine seneste fund her.

på det tidspunkt, hvor dette indlæg gik live, fortalte Geenens Ars, at misbrugshold i lease Holland og lease Tyskland fjernede nogle af de udnyttelsesservere, der var blevet hostet i deres datacentre. Geenens sagde, at C & C-serveren forbliver operationel, ligesom andre udnytter servere.

reklame

“dette sender dem kun den besked, de har brug for for at blive bedre til at gemme sig for os,” skrev forskeren i en e-mail med henvisning til operatørerne. “Det er ikke så let at nedlægge en dygtig hackergruppe—de lærer af deres fejl nu. De kan bringe deres drift over til darknet, hvilket er en anden fordel ved at bruge centraliserede udnyttelsesservere.”