Articles

新しいIoTボットネットは、一度想像を絶するサイズのDDoSesを提供して$20

新しいIoTボットネットは、かつて想像を絶するサイズのDDoSesを提供しています$20

感染した家庭や小規模オフィスのルーターで構成された新しいボットネットの主催者は、ターゲットあたりわずか$20で、かつて想像を絶するボリュームのサービス拒否攻撃を厚かましく販売しています。

自身をLos Calvos de San Calvicieと呼び、このグループはこのサイト上でいくつかのサービスを宣伝している。 サービスの中には、290から300ギガビット/秒の分散型サービス拒否攻撃があり、それぞれ20ドルです。 記録された最大の攻撃の3分の1の規模ですが、290Gbpsは、多くの場合、かなりの金額の費用がかかるDDoS緩和サービスを求めない限り、ほとんどのサイトをダウンさせるのに十分です。 ちょうど5年前、300Gbpsは、インターネットのコアインフラストラクチャをシャットダウンするのに十分な量と考えられていました。

Los Calvos de San Calvicieのメンバーは、最近、約束された強力な攻撃を提供するために必要な火力を持っている可能性が高いボットネットを組み立てていることが見 セキュリティ会社Radwareの研究者であるPascal Geenensによると、このグループは2つの脆弱性を悪用してボットネットを構築しています。1つはRealTekルーターで最新のファームウェアを実行しているもので、もう1つはHuawei HG532ルーターで、12月にリリースされたパッチはまだ多くのユーザーによってインストールされていません。 両方の脆弱性は、Satoriとして知られている別のモノのインターネットボットネットによっても悪用されます。

これまでに見られたほとんどのIoTボットネットとは異なり、彼がJenXと呼んでいるGeenensが追跡しているものは、非IoTサーバー上の一握りを使用して、脆弱なデバ これは、Jenxを構成する感染したデバイスの数を推定することがはるかに困難になります,シミュレートされた脆弱なルータGeenensは、ボットネットを追跡するために彼の研究室で使用しているので、攻撃サーバの同じ限られた数を参照してください.

対照的に、Mirai、Satori、Reaper、およびその他のIoTボットネットは、脆弱なデバイスを見つけて感染させるために感染したデバイスに依存しています。 これにより、Geenensのようなハニーポットは、スキャンを行うIpの数に基づいてボットネットのサイズを推定することができます。 JenXは、マルウェア開発者が脆弱なデバイスに感染するバイナリに与えた名前である”Jennifer”からその名前を取得します。

Devine Stream

Geenens氏は、ボットネットの主な目的は、特定の有料サーバーでオンラインゲームGrand Theft Autoをプレイしている人々を攻撃することだと述べた。 それは順番にゲームホスティングの需要を増やすことができますsancalvicie.comこれはJenX command-and-controlサーバーをホストしているのと同じドメインです。 これは、MiraiとJenXがライバルのゲームホストを倒すために使用する攻撃の種類に耐性があると宣伝しています。 また、ゲームホスティングのサイドビジネスのように見えるDDoS-for-hireサービスを広告するのと同じドメインです。

スペイン語圏のグループはDDoSサービスCorriente Divinaを「divine stream」と呼んでいる。「サービスタグラインの大まかな英語翻訳は、「あなたが私たちに提供するIPに対して神の怒りが採用されます。”

詳細を見る

このグループは、多くの種類のマルチプレイヤーゲームサービスをダウンさせるのに特に効果的なDDoS攻撃の一種であるソースクエリエンジンフラッドと32バイトフラッドを提供しています。 DDoSサービスには、Minecraftを含むマルチプレイヤーゲーム用のサーバーをホストしていることで知られているフランスに拠点を置くホスティングプロバイダーへの言及である”Down OVH”オプションも含まれています。 OVHは、Miraiを含むボットネットが行った2016年の攻撃の標的であり、当時の記録である1.1テラビット/秒のジャンクトラフィックでクラウドプロバイダーを殴った。 皮肉なことに、過去数日間、悪用されたルーターに配信されたJenniferバイナリは、OVHに属するIPアドレスでホストされていた、とGeenens氏は述べています。

JenXは、IoTボットネットの第二世代の例です。 Miraiのように、それはインターネットを移入セキュリティで保護されていないルータ、カメラ、および他のネットワーク対応デバイスの膨大な数を捕食します。 その供給は、ボットネットに、インターネットの大規模な帯を不自由にする集団的能力を持つ分散帯域幅の手ごわい量を与えます。 しかし、Miraiの弱点の一つは、デバイスを制御するためのデフォルトのパスワードに依存していたことです。 メーカーやデバイスの所有者のいずれかによってパスワードが変更されると、Miraiは無効になります。

JenX、Satori、Reaperなどの第二世代のIoTボットネットは、インターネットに接続されたデバイスのファームウェアの脆弱性を悪用することにより、この制限を回避しています。 ほとんどのIoTデバイスは、出荷時までに一般的に古くなっているLinuxベースのファームウェアを実行するため、感染メカニズムは潜在的にはるかに効 多くのデバイスはまったく更新できません。 更新することができる他の多くは、ほとんどの人が行うことが法外に困難です。 これにより、第二世代のIoTボットネットには何百万ものデバイスがあり、オンラインで頻繁に利用可能な信頼性の高い悪用を使用して引き継ぐことができます。

広告

JenXは、前述のように、脆弱なデバイスを探し出して悪用するために集中サーバーに依存しているため、ほとんどのIoTボットネットとは異なります。 これは、その成長率が一定のままである可能性が高いことを意味します。 電子メールで、Geenensは次のように書いています:

このボットネットの可能性は、まったく同じエクスプロイトを使用するため、Satoriに匹敵します。 しかし、このボットの成長率はSatoriほど高くはありません。Satoriはそれぞれがスキャンして悪用するボットを使用しているため、より多くのボット、より多くのスキャナ、より多くの犠牲者、さらに多くのボット、さらに多くのスキャナなど…。 だから、ミライ、サトリ、死神のボットネットの指数関数的な成長率。 JenXボットネットは、デバイスのスキャンと悪用にサーバーを使用するため、成長は線形よりも小さくなります。 より多くのサーバーを追加することで、彼らはそれがより速く成長させることができますが、Mirai、Satori、Reaperほど効率的で積極的ではありません。

Geenensは彼の最新の調査結果の完全な報告書をここに公開している。

この投稿が公開された時点で、Geenens氏はArsに、Leaseweb NetherlandsとLeaseweb Germanyの悪用チームが、データセンターでホストされていたJenXエクスプロイトサーバーの一部を削除したと語った。 Geenens氏によると、c&Cサーバーは、他の悪用サーバーと同様に動作し続けているという。

“これは、彼らが私たちから隠れることをより良くする必要があるというメッセージを送るだけです”と研究者はJenXの運営者に言及して電子メールで書い “熟練したハッカーグループを倒すのは簡単ではありません—彼らは今、自分の過ちから学んでいます。 これは、集中型のエクスプロイトサーバーを使用することのもう一つの利点です。”