13 Марта, 2018

Satori и самые последние ботнеты, причиняющие ущерб IoT

Panda Security в России
9614a6fc1317eaff25afb7bb6ea8c3c4.jpeg

Количество подключенных устройств растет стремительными темпами. По оценкам Statista , к 2025 году их количество во всем мире достигнет 75,4 миллиардов устройств, которые будут присутствовать практически в каждом секторе. Этот быстрый рост создает проблемы безопасности, особенно в отношении недавних ботнетов типа Satori, которые заражают устройства программами для майнинга криптовалют.

В этом посте мы рассмотрим некоторые из числа самых опасных ботнетов, а также некоторые из способов борьбы с ними для защиты IoT.

Риски, связанные с IP -камерами

Как мы говорили ранее, простота установки и низкая цена сделали IP-камеры очень популярными, в результате чего многие компании и агентства безопасности выбирают их вместо традиционных CCTV-систем. Но подобно любому другому IoT-устройству, их можно удаленно взломать.

Этот риск используется ботнетом Hide ‘N Seek (HNS) . Эта сеть ботов способна заражать устройства через специфический P2P-протокол, используя уязвимость Reaper. Текущая версия может получать и выполнять различные типы команд для извлечения данных, выполнения кода или создания помех в работе устройства. В атаке, обнаруженной в январе этого года, было зарегистрировано свыше 20 000 зараженных устройств, большинство из которых представляли собой IP-камеры.

Украденные криптовалюты

Satori – это модифицированная версия ботнета с окрытым кодом Mirai . Этот ботнет также способен удаленно контролировать подключенные устройства. На самом деле, Mirai был вовлечен в DDoS-атаки, которые парализовали DNS-провайдера Dyn в 2016 году. Т.к. Dyn был провайдером таких компаний как Amazon, Netflix и Twitter, Mirai сумел парализовать большую часть Интернета на несколько часов.

Но Satori способен на большее : в январе было установлено, что вариант использует уязвимость программы для майнинга криптовалют Claymore Miner. После получения контроля над ПО, Satori заменяет адрес кошелька пользователя на кошелек, который контролируется хакером. Затем хакер получает все криптовалюты пользователя, который не в курсе произошедшего до тех пор, пока не проверит конфигурацию ПО вручную.

Взломанные роутеры

Ботнет Masuta – это другое создание авторов Satori. В этом случае Masuta использует преимущества уязвимостей роутеров двумя различными способами. С одной стороны, они получают доступ к устройствам, используя регистрационные данные заводской настройки, подобно тому, как это делает ботнет Mirai. С другой стороны, вариант PureMasuta использует старый баг, обнаруженный в Home Network Administration Protocol (HNAP). К счастью, все меньше и меньше моделей роутеров поддерживают этот протокол по умолчанию .

Как оставаться защищенным от ботнетов

Как и в любой сети, наши подключенные устройства могут никогда не достичь состояния полной неуязвимости, но мы можем предотвратить возможные атаки и быть лучше подготовленным к ним, когда они будут направлены против наших устройств, благодаря определенным рекомендациям на каждый случай.

Если мы хотим установить систему видеонаблюдения, рекомендуется использовать камеры, которые будут подключены по кабелю, а не беспроводным образом. Беспроводная сеть увеличивает возможности хакеров по внедрению вредоносных программ в систему. Также предпочтительно поддерживать внутренний сервер для управления данными системы видеонаблюдения (вместо использования внешнего сервера). Таким образом, вероятность несанкционированного доступа к системе значительно снижается.

Что касается криптовалют, самый безопасный вариант управления ими – это хранить их в физическом кошельке (аппаратные устройства с флэшкой, которая подключена через USB). Эти кошельки хранят закрытые ключи и позволяют подписывать транзакции, не подвергая их риску.

Что касается роутеров, то лучшая рекомендация по защите от атак ботнетов, которые используют старые уязвимости, - это убедиться, что на них установлены самые последние версии прошивки, и использовать более современные и безопасные протоколы, такие как ожидаемый WPA3 .

Наконец, в качестве основной рекомендации, необходимо постоянно отслеживать трафик вашей корпоративной сети во избежание несанкционированного доступа. Для этого такие решения как Adaptive Defense 360 предоставляют вам полный контроль всех данных в корпоративной сети, отслеживая, регистрируя и категоризируя 100% всех активных процессов. Лучший способ избежать атаки ботнета – это иметь видимость всего, что происходит в вашей компании, минимизируя векторы атаки.
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com