Опубликован подробный анализ активности ботнета Mirai

За последние несколько месяцев появилось немало сообщений о DDoS-атаках, в которых был задействован ботнет Mirai. К примеру, в октябре мощной DDoS-атаке подверглась инфраструктура Managed DNS крупного DNS-провайдера Dyn, а в ноябре новый вариант Mirai отключил доступ к интернету порядка 900 тыс. клиентам немецкой телекоммуникационной компании Deutsche Telekom. Mirai представляет собой отличный инструмент для наживы и многие пользователи хакерских форумов даже готовы заплатить деньги за уроки по использованию ботнета.

Эксперты компании «Лаборатория Касперского» провели исследование активности ботнета Mirai с целью выяснить его устройство и разобраться, какие задачи преследуют владельцы бот-сети.

Как показал анализ исходного кода ботнета, опубликованного на одном из форумов, Mirai состоит из ряда компонентов: управляющего сервера, содержащего MySQL-базу всех зараженных IoT-устойств (ботов); компонент приема результата сканирования (Scan Receiver), отвечающего за сбор результатов работы ботов и перенаправление данных компоненту загрузки бота на уязвимые устройства; компонента загрузки, осуществляющего доставку бинарного файла бота на уязвимое устройство; бота, который после запуска на инфицированном устройстве осуществляет подключение к C&C-серверу, сканирует диапазон IP-адресов (SYN-сканирование) на наличие уязвимых IoT-устройств и отправляет результаты компоненту Scan Receiver.

При попытках подключения к целевому устройству Mirai использует список логинов и паролей. Как отмечают эксперты, в настоящее время список значительно расширился за счет добавления логинов и паролей «по умолчанию» от различных IoT-устройств, что свидетельствует о модификации данного бота.

Для оценки текущей активности ботнета исследователи ЛК установили сервер с открытым telnet-портом. Первая попытка подключения к telnet-порту со стороны различных хостов была зафиксирована спустя всего три минуты после активации сервера в Сети. Специалисты привели два факта, указывающих, что попытки подключения осуществляются со стороны ботов оригинального Mirai или его модификаций. Во-первых, учетные записи, использованные ботами при попытках подключения, входят в перечень оригинального ботнета. Во-вторых, в большинстве случаев источниками подключения являлись инфицированные IoT-устройства (камеры, маршрутизаторы различных торговых марок).

Как поясняют эксперты, комбинации логин/пароль позволяют получить представление о том, какие устройства интересны ботнету. К примеру, пары «root:xc3511» «root:vizxv» являются учетными записями по умолчанию для IP-камер крупных китайских производителей.

По состоянию на 3 декабря 2016 года специалисты ЛК отмечают снижение активности ботнета, но, по их словам, делать какие-либо выводы пока рано.