/ Flickr / cali4beach / cc
Miraiウイルスは、モノのインターネットに接続された感染デバイスの攻撃がどのように判明するかを示しました。 2016年9月、Brian Krebsは、DDoS攻撃用のボットネットサービスを販売するグループに関する記事を公開しました。 その後、665 Gb / sのトラフィックを持つ史上最も強力なDDoS攻撃の1つがサイトでクラッシュしました。
新しいウイルスに関しては、ReaperはMiraiといくつかの類似点を持っていますが、実際には、それは完全に新しく、はるかに複雑なマルウェアであり、世界中に急速に広がっています。 これが、 Check Point Research がブログで書いていることです。
ただし、新しいウイルスはデバイスの既知の脆弱性を悪用します。 Reaperデータベースには、D-Link、Netgear、Linksys、AVTech、Vacron、JAWS、GoAheadなどの企業のデバイスに関する情報が含まれています。
これらのメーカーの一部は既にセキュリティ更新プログラムをリリースしていますが、すべてのユーザーがそれらをインストールしているわけではありません。 したがって、多くのデバイスが依然として危険にさらされています。
状況についてコメントし、モノのインターネットセキュリティ会社であるArmisの共同設立者であるNadir Izraelは、更新の問題を指摘しました。
彼は、接続されたデバイスのほとんどはそれほど簡単に更新できないと指摘しました。 彼によると、それらの多くには、ユーザーやITプロフェッショナルが理解できる通常のインターフェイスがありません。 一部には、所有者が知らないかもしれない標準パスワードがあります。 また、一部は更新をまったくサポートしていません。
専門家はReaperコードを分析し、マルウェアがDDoS攻撃を実行できることを発見しましたが、今のところ何もありませんでした。 おそらく、ウイルスの作者は、ウイルスが世界中に広がるのを待っています。
Check Point Researchによると、感染したデバイスは他の接続されたガジェットに自動的にウイルスを送信します。ThreatCloudグローバルネットワークの一部である企業ネットワークの約60%が「これを実行します」。
たとえば、脆弱性CVE-2017-8225は 、GoAhead IPカメラをボットネットに接続するために使用されます。 感染したデバイスのSystem.iniファイルには、攻撃者のシステムへの接続を確立するnetcatコマンドが含まれています。 その後、ガジェットは独立して他の「犠牲者」の検索を開始します。 同様に、ウイルスは毎日1万台の新しいデバイスにヒットします。
脆弱なもののインターネット
IoTセキュリティはホットな問題です。 HPの調査によると、デバイスの80%はユーザーが複雑なパスワードを入力する必要はありません。 これは当時Miraiが使用していたものとまったく同じです。彼のデータベースには60の一般的なログインパスワードのペアがありました。 簡単な選択により、ウイルスは400〜50万台のデバイスに感染しました 。
特別なShodan検索エンジンもあり、弱いものも含めて、1億台の接続されたデバイスに関する情報を見つけることができます。 デフォルトのパスワード要求などを入力するだけです。
HPの調査では、アップグレード中にデバイスの60%が暗号化を使用しなかったことが判明しました。 このため、攻撃者は更新ファイルを傍受し、サードパーティのコードをそこに埋め込むことができます。
最近、Wi-Fi接続を確立するために使用されるWPA2セキュリティプロトコルに脆弱性が発見されました。 また、Wi-Fiは多くのIoTデバイスで使用されています。 WPAに対する攻撃のタイプはKRACKと呼ばれ、攻撃者がネットワーク参加者にトラフィックを保護する暗号化キーを強制的に再インストールさせることを可能にします。
キーの再定義中に、送信されたパケットの数と受信されたパケットの数は初期値にリセットされます。 この攻撃により、ピアキー、グループキー、および高速BSS移行(FT)のハンドシェイクが解除されます。 攻撃者はパケットを解読し、悪意のあるコードをTCPストリームに挿入できるようになりました。
KRACKメソッドは普遍的であり、Wi-Fiネットワークに接続されているすべてのデバイスに対して機能します。 つまり、IoTデバイスに加えて、Android、iOS、Windows、Linuxなどのすべてのユーザーが攻撃を受けています。
PSブログのその他の資料: