Hur du säkrar din router mot Mirai Botnet-attacker

En strategi som används av illvilliga angripare för att skala upp sina cyberattacker är användningen av botnät.

Ett botnät är ett nätverk av datorer som har infekterats av skadlig programvara och som fjärrstyrs av en illvillig aktör. En sådan illvillig aktör som kontrollerar en grupp infekterade datorer kallas en bot-herder. Enskilda infekterade enheter kallas bots.

Bot-herdare styr och kontrollerar gruppen av infekterade datorer, vilket gör att de kan utföra cyberattacker i mycket större skala. Botnät har använts framträdande i storskalig överbelastning av tjänster, nätfiske, spam-attacker och datastöld.

Ett exempel på skadlig programvara som sedan dess har blivit känd för att kapa digitala enheter för att skapa mycket stora botnät är Mirai Botnet malware. Mirai är en botnätskadlig programvara som riktar sig mot och utnyttjar sårbarheter i Internet of Things (IoT)-enheter som kör Linux.

Vid infektion kapar Mirai IoT-enheten och förvandlar den till en fjärrstyrd bot som kan användas som en del av ett botnät för att starta massiva cyberattacker. Mirai skrevs med C och GO.

Skadlig programvara fick framträdande plats 2016 när den användes i en distribuerad överbelastningsattack (DDOS) mot DYN, en leverantör av domännamnssystem. Attacken hindrade internetanvändare från att komma åt sajter som Airbnb, Amazon, Twitter, Reddit, Paypal och Visa, bland andra.

Mirai malware var också ansvarig för DDOS-attacker på cybersäkerhetssajten Krebs on Security och det franska molndataföretaget OVHCloud.

Hur Mirai skapades

Skadlig programvara Mirai skrevs av Paras Jha och Josiah White, som vid den tiden var studenter i början av 20-talet och även grundarna av ProTraf Solutions, ett företag som erbjöd DDOS-reducerande tjänster. Mirai Malware skrevs med programmeringsspråken C och Go.

Inledningsvis var deras mål för Mirai att ta ner konkurrerande Minecraft-servrar med DDOS-attacker så att de kunde få fler kunder genom att göra sig av med konkurrenterna.

Deras användning av Mirai övergick sedan till utpressning och utpressning. Duon skulle lansera DDOS-attacker på företag och sedan nå ut till företagen de hade attackerat för att erbjuda DDOS-reducering.

Mirai Botnet fångade myndigheternas och cybersäkerhetsgemenskapens uppmärksamhet efter att det användes för att ta ner webbplatsen Krebs on Security och dess attack mot OVH. När Mirai Botnet började skapa rubriker läckte skaparna källkoden till Mirai Botnet på ett allmänt tillgängligt hackingforum.

Detta var sannolikt ett försök att täcka deras spår och att undvika att hållas ansvariga för DDOS-attackerna som gjordes med Mirai Botnet. Källkoden för Mirai Botnet togs upp av andra cyberkriminella, och detta ledde till skapandet av varianter av Mirai Botnet som Okiru, Masuta och Satori, och PureMasuta.

Skaparna av Mirai Botnet tillfångatogs dock senare av FBI. De fängslades dock inte utan fick istället lindrigare straff eftersom de samarbetade med FBI för att fånga andra cyberbrottslingar och förhindra cyberattacker.

Hur Mirai Botnet fungerar

En attack av Mirai Botnet innebär följande steg:

  • Mirai Botnet skannar först IP-adresserna på internet för att identifiera IoT-enheter som kör Linux på Arc Processor. Den identifierar och riktar sig sedan mot enheter som inte är lösenordsskyddade eller som använder standarduppgifter.
  • När den har identifierat sårbara enheter, försöker Mirai en mängd olika kända standardreferenser för att försöka få nätverksåtkomst till enheten. Om enheten använder standardkonfigurationer eller inte är lösenordsskyddad loggar Mirai in på enheten och infekterar den.
  • Mirai Botnet skannar sedan enheten för att se om den har infekterats av annan skadlig programvara. Om den har det tar den bort all annan skadlig programvara så att den är den enda skadliga programvaran på enheten, vilket ger den mer kontroll över enheten.
  • En Mirai-infekterad enhet blir sedan en del av Mirai Botnet, och den kan fjärrstyras från en central server. En sådan enhet väntar helt enkelt på kommandon från den centrala servern.
  • Infekterade enheter används sedan för att infektera andra enheter eller används som en del av ett botnät för att utföra storskaliga DDOS-attacker på webbplatser, servrar, nätverk eller andra resurser tillgängliga på internet.
  • Det är värt att notera att Mirai Botnet kom med IP-intervall som det inte riktade in sig på eller infekterade. Detta inkluderar privata nätverk och IP-adresser som tilldelats United States Department of Defense och United States Postal Service.

    Typer av enheter som Mirai Botnet riktar in sig på

    Det primära målet för Mirai Botnet är IoT-enheter som använder ARC-processorer. Enligt Paras Jha, en av författarna till Mirai-boten, var de flesta IoT-enheter som infekterades och användes av Mirai Botnet routrar.

    Men listan över potentiella offer för Mirai Botnet inkluderar andra IoT-enheter som använder ARC-processorer.

    Detta kan inkludera smarta hemenheter som säkerhetskameror, babymonitorer, termostater och smarta TV-apparater, bärbara enheter som träningsspårare och klockor och medicinska IoT-enheter som glukosmonitorer och insulinpumpar. Industriella IoT-enheter och medicinska IoT-enheter som använder ARC-processorer kan också bli offer för Mirai-botnätet.

    Hur man upptäcker en Mirai Botnet-infektion

    Mirai Botnet är designat för att vara smygande i sin attack, och därför är det ingen lätt uppgift att upptäcka att din IoT-enhet är infekterad med Mirai Botnet. Det är dock inte lätt att upptäcka. Leta dock efter följande indikatorer som kan signalera en möjlig Mirai Botnet-infektion på din IoT-enhet:

    • Långsam internetanslutning – Mirai botnet kan få ditt internet att sakta ner eftersom dina IoT-enheter används för att starta DDOS-attacker.
    • Ovanlig nätverkstrafik – Om du regelbundet övervakar din nätverksaktivitet kan du märka en plötslig ökning av nätverkstrafiken eller förfrågningar som skickas till okända IP-adresser
    • Minskad enhetsprestanda – Din IoT-enhet som fungerar suboptimalt eller uppvisar ovanligt beteende, som att stänga av eller starta om på egen hand, kan vara en indikator på en möjlig Mirai-infektion.
    • Ändringar i enhetskonfigurationer – Mirai Botnet kan göra ändringar i dina IoT-enheters inställningar eller standardkonfigurationer för att göra enheterna lättare att utnyttja och kontrollera i framtiden. Om du märker ändringar i konfigurationerna av dina IoT-enheter, och du inte är ansvarig för dem, kan det peka på en möjlig Mirai Botnet-infektion.

    Även om det finns tecken som du kan se upp för för att veta om din enhet har blivit infekterad, kanske du ibland inte lätt märker dem bara för att Mirai Botnet är gjord på ett sådant sätt att det är mycket svårt att upptäcka. Som ett resultat är det bästa sättet att hantera det att förhindra Mirai Botnet från att infektera dina IoT-enheter.

    Men om du misstänker att en IoT-enhet har upptäckts, koppla bort den från nätverket och anslut bara enheten igen efter att hotet har eliminerats.

    Hur du skyddar dina enheter från Mirai Botnet-infektion

    Mirai Botnets nyckelstrategi för att infektera IoT-enheter är att testa ett gäng välkända standardkonfigurationer för att se om användarna fortfarande använder standardkonfigurationerna.

    Om så är fallet loggar Mirai in och infekterar enheterna. Därför är ett viktigt steg för att skydda dina IoT-enheter från Mirai Botnet att undvika användningen av standardanvändarnamn och lösenord.

    Se till att ändra dina referenser och använd lösenord som inte är lätta att gissa. Du kan till och med använda en slumpmässig lösenordsgenerator för att få unika lösenord som inte går att gissa.

    Ett annat steg du kan ta är att regelbundet uppdatera enhetens firmware och även installera säkerhetskorrigeringar när de släpps. Företag släpper ofta säkerhetskorrigeringar om sårbarheter upptäcks i deras enheter.

    Att installera säkerhetskorrigeringar när de släpps kan därför hjälpa dig att ligga före angripare. Om din IoT-enhet har fjärråtkomst, överväg att inaktivera den också, om du inte behöver den funktionen.

    Andra åtgärder du kan vidta inkluderar att regelbundet övervaka din nätverksaktivitet och segmentera ditt hemnätverk så att IoT-enheter inte är anslutna till viktiga nätverk hemma.

    Slutsats

    Även om skaparna av Mirai Botnet greps av myndigheterna, kvarstår fortfarande risken för Mirai Botnet-infektion. Mirai Botnet-källkoden släpptes för allmänheten, och detta ledde till skapandet av dödliga varianter av Mirai Botnet, som riktar sig mot IoT-enheter och har mer kontroll över enheterna.

    Därför, när du köper IoT-enheter, bör säkerhetsfunktionerna som erbjuds av tillverkaren av enheten vara en viktig faktor. Köp IoT-enheter som har säkerhetsfunktioner som förhindrar eventuella infektioner med skadlig programvara.

    Undvik dessutom att använda standardkonfigurationer i dina enheter och uppdatera regelbundet enhetens firmware och installera alla de senaste säkerhetskorrigeringarna när de släpps.

    Du kan också utforska de bästa EDR-verktygen för att snabbt upptäcka och svara på cyberattacker.