Внимание злоумышленников в очередной раз сконцентрировалось на Internet of Things (IoT) и небольших сетевых устройствах в поисках их уязвимых мест. Устройства пользовательского уровня имеют определенные слабые места, а именно слабую реализацию внутренних функций защиты, отсутствие регулярности обновлений. Что делает их легкодоступными для злоумышленников. Но при этом устройства достаточно производительны для реализации простых функций, поэтому часто они становятся ботнет агентами.
Буквально несколько дней назад специалисты подразделения Unit42 компании Palo Alto Networks обнаружили новую версию ботнета Mirai под названием Mukashi, нацеленного на распространенные устройства Zyxel (NAS, UTM и межсетевые экраны). Заражают они в первую очередь устройства с неизмененными заводскими настройками и учетными записями по умолчанию. Специалисты группы Netlab из Qihoo 360 обнаружили несколько компаний по распространению ботнет агентов бот-сетей Chalubo, FBot и Moobot на видеорегистраторы LILIN. Хотя прошивка с исправленной уязвимостью доступна уже с февраля, ботнет продолжает успешно поражать устройства. При атаке также используются заводские учетные данные.
Что такое ботнет агент? Это небольшой программный пакет, установленный и запущенный на вашем устройстве, который может получать и выполнять команды из командного центра злоумышленника (Command and Control – C&C), и тем самым становиться участником бот-сети и формировать распределенную DoS атаку – DDoS.
Устройства IoT и другие сетевые устройства пользователей часто становятся объектами заражения ботнет агентов по двум основным причинам:
- устройства не обладают сложной реализацией внутренних функций защиты и в них часто обнаруживаются те или иные уязвимости, с другой стороны их производительности как раз достаточно для выполнения простых команд злоумышленников – чем и является бот-нет агент;
- часто устройства остаются без должного внимания пользователя: редко обновляются, не изменяются настройки по умолчанию, особенно это касается учетных данных.
- шлюзовой межсетевой экран (МЭ) обнаружит и заблокирует в трафике соединение с известными C&C серверами;
- средство анализа трафика на аномалии также обнаружит в сети попытки соединения с известными C&C серверами или подозрения на соединение с неизвестным сервером по отпечатку трафика;
- антивирусное сканирование входящего трафика заблокирует проникновения ботнет агента на устройство внутри корпоративного периметра;
- попытки перебора учетных данных могут быть обнаружены средствами мониторинга событий устройств или шлюзового МЭ, через который проходит трафик;
- в принципе, внешний сетевой периметр максимально блокирует внешний трафик к такого рода устройствам.
Для домашних пользователей есть ряд рекомендаций, позволяющих значительно снизить риски подобных заражений. Это:
- Всегда изменять заводские учетные записи (в редких случаях эта функция недоступна, когда учетная запись зашита в аппаратную неизменяемую прошивку).
- Регулярно обновлять прошивку устройства, хотя бы один раз в месяц. Если устройство подключено к сети Интернет, оно может само предлагать выполнить обновление. Желательно принимать это. Если вы переживаете, что прошивка может встать некорректно, то можно подождать 2-3 дня после ее выхода, тогда она будет уже достаточно протестирована на широкой выборке пользователей.
- Изменять настройки безопасности по умолчанию: включать максимальный уровень аутентификации (если он выключен), дополнительные функции защиты и т.д.
- Без необходимости не подключать устройства к сети Интернет напрямую, использовать для этого маршрутизатор с функцией скрытой трансляции адресов (Hide/Dynamic NAT).
