Articles

az új IoT botnet egyszer elképzelhetetlen méretű Ddózisokat kínál$20

az új IoT botnet egyszer elképzelhetetlen méretű Ddózisokat kínál$20

a fertőzött otthoni és kis irodai routerekből álló új botnet szervezői pimaszul eladják az egykor elképzelhetetlen mennyiségű szolgáltatásmegtagadási támadásokat, célpontonként mindössze 20 dollárért.

Los Calvos de San Calvicie néven a csoport számos szolgáltatást hirdet ezen az oldalon. A szolgáltatások között vannak elosztott szolgáltatásmegtagadási támadások, másodpercenként 290-300 gigabites sebességgel, egyenként 20 dollárért. Míg a legnagyobb rögzített támadások egyharmada, az 290Gbps még mindig elegendő ahhoz, hogy a legtöbb webhelyet leállítsa, kivéve, ha DDoS-enyhítő szolgáltatásokat keresnek, amelyek sok esetben jelentős pénzösszegekbe kerülnek. Mindössze öt évvel ezelőtt az 300gbps-t elegendő mennyiségnek tekintették az Internet alapvető infrastruktúrájának leállításához.

Los Calvos de San Calvicie tagjai már kiszúrták összeszerelés botnet az elmúlt napokban, hogy nagy valószínűséggel a tűzerő szükséges teljesíteni a hatásos támadások ígért. Pascal Geenens, a Radware biztonsági cég kutatója szerint a csoport két biztonsági rés kihasználásával építi a botnetet: az egyik a RealTek útválasztókban elavult firmware-t, a másik a Huawei HG532 útválasztóban, ahol a decemberben kiadott javítást még sok felhasználónak telepítenie kell. Mindkét sebezhetőséget egy másik, Satori néven ismert internetes botnet is kihasználja.

az eddig látott IoT botnetek többségével ellentétben a Geenens által nyomon követett, amelyet JenX-nek hív, egy maroknyi nem IoT szerveren használ az interneten a sebezhető eszközök keresésére, és ha megtalálta, kihasználja őket. Ez sokkal nehezebbé teszi a JenX-et alkotó fertőzött eszközök számának becslését, mivel a geenens laboratóriumában a botnet nyomon követésére használt szimulált sebezhető útválasztók ugyanazt a korlátozott számú támadási szervert látják.

ezzel szemben a Mirai, a Satori, a Reaper és más IoT botnetek a fertőzött eszközökre támaszkodnak a sérülékeny eszközök felkutatásában és megfertőzésében. Ez lehetővé teszi, hogy a honeypotok, mint például a Geenens, megbecsüljék a botnet méretét a szkennelést végző IP-k száma alapján. A JenX a “Jennifer” nevet kapta, amelyet a rosszindulatú programok fejlesztői adtak a sebezhető eszközöket megfertőző bináris fájlnak.

Devine Stream

Geenens szerint a botnet fő célja A Grand Theft Auto online játékot játszó emberek megtámadása bizonyos díjfizető szervereken. Ez viszont növelheti a játék hosting iránti keresletet sancalvicie.com. ez ugyanaz a tartomány, amely a JenX parancs-vezérlő szervert tárolja. Úgy hirdeti magát, hogy ellenáll a Mirai és JenX támadásainak, amelyeket a rivális játékgazdák lebuktatására használnak. Ugyanez a domain hirdeti a DDoS-for-hire szolgáltatásokat is, amelyek a játék tárhelyének mellékvállalkozásának tűnnek.

a spanyol ajkú csoport a Corriente Divina DDoS szolgáltatását nevezte el, amely fordításban “isteni patak.”A szolgáltatáscímke vonalának durva angol fordítása:” Isten haragját az Ön által megadott IP-vel szemben alkalmazzák.”

Részletek

a csoport kínál source query engine árvizek és 32 bájtos árvizek, amelyek olyan típusú DDoS támadások, amelyek különösen hatékonyan hozza le sok fajta multiplayer játék szolgáltatások. A DDoS szolgáltatás tartalmaz egy “Down OVH” opciót is, amely valószínűleg utal a franciaországi tárhelyszolgáltatóra, amely ismert a többjátékos játékok, köztük a Minecraft szervereinek tárolásáról. Az OVH a botnetek, köztük a Mirai által indított 2016-os támadások célpontja volt, amely a felhőszolgáltatót másodpercenként 1, 1 Terabit sebességgel dobta fel, ami akkoriban rekord volt. Ironikus módon az elmúlt napokban a kihasznált útválasztóknak szállított Jennifer binary-t az OVH-hoz tartozó IP-címen tárolták-mondta Geenens.

a JenX az IoT botnetek második generációjának példája. A Mirai-hoz hasonlóan a nem biztonságos Routerek, kamerák és más, az internetet feltöltő hálózati eszközök hatalmas számát veszi igénybe. Ez a kínálat hatalmas mennyiségű elosztott sávszélességet biztosít a botneteknek, amelyek együttesen képesek az Internet nagy rendjeinek megbénítására. A Mirai egyik gyengesége azonban az volt, hogy az alapértelmezett jelszavakra támaszkodott az eszközök irányításához. Miután a jelszavakat megváltoztatták—akár a gyártók, akár az eszköztulajdonosok—, a Mirai hatástalanná válik.

a JenX, a Satori, a Reaper és más második generációs IoT botnetek megkerülték ezt a korlátozást az internethez csatlakoztatott eszközök firmware sebezhetőségének kihasználásával. A fertőzési mechanizmus potenciálisan sokkal hatékonyabb, mert a legtöbb IoT-eszköz Linux-alapú firmware-t futtat, amely a szállítás idejére általában elavult. Sok eszközt egyáltalán nem lehet frissíteni. Sok más, frissíthető, a legtöbb ember számára megfizethetetlenül nehéz. Ez a második generációs IoT botneteket több millió eszközzel hagyja átvenni megbízható, gyakran online elérhető kihasználásokkal.

hirdetés

a JenX különbözik a legtöbb IoT botnettől, mivel, mint korábban említettük, központosított szerverekre támaszkodik a sérülékeny eszközök felkutatására és kiaknázására. Ez azt jelenti, hogy növekedési üteme valószínűleg állandó marad. Egy e-mailben, Geenens írta:

ennek a botnetnek a lehetősége összehasonlítható a Satori-val, mivel pontosan ugyanazokat a kihasználásokat használja. Ennek a botnak a növekedési üteme azonban nem lesz olyan magas, mint a Satori, mert a Satori olyan botokat használ, amelyeket minden egyes szkennelés és kihasználás önmagában—tehát több bot, több szkenner, több áldozat, még több bot, még több szkenner stb…. tehát a Mirai, Satori és Reaper botnetek exponenciális növekedési üteme. A JenX botnet szervereket használ az eszközök beolvasásához és kihasználásához, így a növekedés nem lesz lineáris. További szerverek hozzáadásával gyorsabban növekedhet, de soha nem lesz olyan hatékony és agresszív, mint a Mirai, a Satori és a Reaper.

Geenens teljes jelentést tett közzé legújabb megállapításairól itt.

abban az időben, amikor ez a bejegyzés életbe lépett, Geenens elmondta az Ars-nek, hogy a Leaseweb Netherlands és a Leaseweb Germany visszaélési csapatai megsemmisítették a jenx exploit szervereit, amelyeket az adatközpontjaikban tároltak. Geenens elmondta, hogy a C&C szerver továbbra is működőképes, csakúgy, mint más exploit szerverek.

hirdetés

“ez csak azt az üzenetet küldi nekik, hogy jobban el kell rejtőzniük tőlünk” – írta a kutató egy e-mailben, utalva a JenX operátorokra. “Ez nem olyan egyszerű, hogy vegye le egy képzett hacker csoport—tanulnak a hibáikból most. Lehet, hogy átviszik működésüket a darknetre, ami egy másik előnye a központosított kihasználó szerverek használatának.”