Articles

Uusi IoT botnet tarjoaa DDoSes kerran käsittämättömän kokoisia $20

Uusi IoT botnet tarjoaa DDoSes kerran käsittämättömän kokoisia $20

uuden botnetin, joka koostuu saastuneista koti-ja pienistä toimistoreitittimistä, järjestäjät myyvät röyhkeästi palvelunestohyökkäyksiä, joiden määrä on ollut käsittämättömän suuri vain 20 dollarilla per kohde.

kutsuen itseään Los Calvos de San Calvicieksi ryhmä mainostaa useita palveluita tällä sivustolla. Palveluihin kuuluu muun muassa 290-300 gigabitin palvelunestohyökkäyksiä sekunnissa 20 dollarin kappalehintaan. Vaikka kolmannes on joidenkin suurimpien rekisteröityjen hyökkäysten kokoinen, 290Gbps riittää silti kaatamaan useimmat sivustot, elleivät ne Etsi palvelunestohyökkäysten lieventämispalveluja, jotka monissa tapauksissa maksavat huomattavia summia rahaa. Vielä viisi vuotta sitten 300 Gbps: n volyymia pidettiin riittävänä Internetin ydininfrastruktuurin sammuttamiseen.

los Calvos de San calvicie jäsenet on nähty kokoamassa botnet viime päivinä, että hyvin mahdollisesti on tulivoima tarvitaan toimittaa voimakkaita hyökkäyksiä luvattu. Tietoturvayhtiö Radwaren tutkijan Pascal Geenensin mukaan ryhmä rakentaa bottiverkkoa hyödyntämällä kahta haavoittuvuutta: toista Realtekin reitittimissä, jotka ovat loppumassa käytöstä ja toista Huawein hg532-reitittimessä, johon joulukuussa julkaistu laastari on vielä monen käyttäjän asentamatta. Molempia haavoittuvuuksia hyödyntää myös eri esineiden Internet-bottiverkko, joka tunnetaan nimellä Satori.

toisin kuin useimmat tähän mennessä nähdyt IoT-botnetit, Geenensin jäljittämä, jota hän kutsuu Jenxiksi, käyttää kourallista Ei-IoT-palvelimilla skannatakseen Internetistä haavoittuvia laitteita ja löydettyään hyödyntääkseen niitä. Tämä tekee paljon vaikeampi arvioida määrä tartunnan laitteiden, jotka muodostavat JenX, koska simuloitu haavoittuvia reitittimet Geenens käyttää hänen laboratoriossaan seurata botnet nähdä sama rajoitettu määrä hyökkäys palvelimia.

sen sijaan Mirai, Satori, Reaper ja muut IoT-botnetit käyttävät tartunnan saaneita laitteita paikantaakseen ja tartuttaakseen haavoittuvia laitteita. Sen avulla Hunajametsät, kuten Geenens’, voivat arvioida bottiverkon koon skannauksen suorittavien IP-osoitteiden lukumäärän perusteella. JenX on saanut nimensä ”Jenniferistä”, jonka haittaohjelmien kehittäjät antoivat haavoittuvia laitteita saastuttavalle binäärille.

Devine Stream

Geenensin mukaan bottiverkon päätarkoitus on hyökätä Grand Theft Auto-verkkopeliä pelaavien ihmisten kimppuun tietyillä maksullisilla palvelimilla. Tämä puolestaan voi lisätä kysyntää pelin hosting sancalvicie.com. sama verkkotunnus isännöi JenX komento-ja-ohjauspalvelinta. Se mainostaa olevansa vastustuskykyinen hyökkäyksille, joita Mirai ja JenX käyttävät kilpailevien peli-isäntien kaatamiseen. Se on myös sama domain mainonta DDoS-for-vuokraus palvelut, jotka näyttävät olevan sivubisnes pelin hosting.

espanjankielinen ryhmä on dubannut DDoS-palvelunsa Corriente Divinaksi, joka kääntyy muotoon ” divine stream.”Karkea englanninkielinen käännös service tag line on” God ’ s wrath will be employed against the IP that you provide us.”

Katso lisää

ryhmä tarjoaa source-kyselymoottorin tulvia ja 32-tavun tulvia, jotka ovat erityyppisiä DDoS-hyökkäyksiä, jotka ovat erityisen tehokkaita kaatamaan monenlaisia moninpelipalveluita. DDoS-palvelu sisältää myös ”Down OVH” -vaihtoehdon, joka on todennäköisesti viittaus Ranskassa sijaitsevaan hosting-palveluntarjoajaan, joka tunnetaan usean pelaajan pelien, kuten Minecraftin, palvelimien hostaamisesta. OVH oli kohde vuoden 2016 botnettien, kuten Mirain, tekemissä hyökkäyksissä, jotka nuijivat pilvipalvelujen tarjoajaa 1,1 terabitin sekuntivauhdilla, mikä oli silloinen ennätys. Ironista kyllä, viime päivinä hyväksikäytetyille reitittimille toimitettua Jennifer-binääriä isännöitiin OVH: lle kuuluvalla IP-osoitteella, Geenens sanoi.

JenX on esimerkki toisen sukupolven IoT-bottiverkoista. Mirain tavoin se saalistaa Internetin valtaisaa määrää suojaamattomia reitittimiä, kameroita ja muita verkkoa hyödyntäviä laitteita. Että tarjonta antaa botnets valtava määrä hajautettua kaistanleveyttä, joilla on kollektiivinen kyky lamauttaa suuria karhot Internetin. Yksi Mirain heikkouksista oli kuitenkin se, että se turvautui oletussalasanoihin ottaakseen laitteet hallintaansa. Kun salasanat on vaihdettu-joko valmistajien tai laitteiden omistajien toimesta-Mirai muuttuu tehottomaksi.

JenX, Satori, Reaper ja muut toisen sukupolven IoT-botnetit ovat kiertäneet tämän rajoituksen hyödyntämällä firmware-haavoittuvuuksia internetiin kytketyissä laitteissa. Tartuntamekanismi on mahdollisesti paljon tehokkaampi, koska useimmat IoT-laitteet käyttävät Linux-pohjaista firmwarea, joka on yleensä vanhentunut toimitusaikaan mennessä. Monia laitteita ei voi päivittää lainkaan. Monet muut, jotka voidaan päivittää ovat kohtuuttoman vaikea useimmille tehdä. Tämä jättää toisen sukupolven IoT-botnetit, joissa on miljoonia laitteita ottaa haltuunsa käyttämällä luotettavia hyödyntää, jotka ovat usein saatavilla verkossa.

Mainos

JenX eroaa useimmista IoT-bottiverkoista, koska, kuten aiemmin mainittiin, se nojaa keskitettyihin palvelimiin haavoittuvien laitteiden etsimisessä ja hyödyntämisessä. Se tarkoittaa, että sen kasvuvauhti pysyy todennäköisesti vakiona. Sähköpostissa, Geenens kirjoitti:

tämän bottiverkon potentiaali on verrattavissa Satoriin, koska se käyttää täsmälleen samoja hyväksikäyttöjä. Tämän botin kasvunopeus ei kuitenkaan tule olemaan yhtä suuri kuin Satorin, koska Satori käyttää botteja, joita jokainen skannaa ja hyödyntää itse-joten enemmän botteja, enemmän skannereita, enemmän uhreja, vielä enemmän botteja, vielä enemmän skannereita jne…. Mirai -, Satori-ja Reaper-bottiverkkojen eksponentiaalinen kasvunopeus. JenX-botnet käyttää palvelimia skannaukseen ja laitteiden hyödyntämiseen, joten kasvu on vähemmän kuin lineaarista. Lisäämällä palvelimia he voivat saada sen kasvamaan nopeammin, mutta koskaan ei tule olemaan yhtä tehokas ja aggressiivinen kuin Mirai, Satori ja Reaper.

Geenens on julkaissut täyden raportin uusimmista löydöistään täällä.

kun tämä viesti oli menossa suorana, Geenens kertoi Ars: lle, että hyväksikäyttötiimit Leaseweb Netherlands ja Leaseweb Germany ottivat alas joitakin JenX exploit-palvelimia, jotka oli hostattu heidän datakeskuksissaan. Geenensin mukaan C&C-palvelin pysyy toimintakykyisenä, kuten muutkin exploit-palvelimet.

Mainos

”tämä vain lähettää heille viestin, että heidän täytyy oppia paremmin piiloutumaan meiltä”, tutkija kirjoitti sähköpostissa viitaten JenX-operaattoreihin. ”Ei ole niin helppoa kaataa taitava hakkeriryhmä-he oppivat virheistään nyt. He saattavat tuoda toimintansa darknetiin, mikä on toinen etu keskitetyillä hyväksikäyttöpalvelimilla.”