Cyber Security LAB

Čo sa zdá byť najväčší botnet doteraz â €”Mirai vytvoril ešte ďalšie hrozba, tentokrát nemecká spoločnosť Deutsche Telekom. Botnet sa podarilo prihlásiť do admin panela väčšina širokopásmových smerovačov, ovplyvňujúce výkon viac ako 900 000 zákazníkov.

BSI office (nemecký Spolkový úrad pre informačnú bezpečnosť) prišla s vyhlásením o tejto masívnej a automatizované kybernetickým útokom, zistené počas posledný víkend v novembri 2016.

Zo správy sme tiež pochopili, že mohlo dôjsť upravenú verziu Mirai červa, ktorý bol vydaný pre verejnosť, následok masívny spúšť. Tento upravený variant začala spôsobiť infekcie a útoky na viaceré CCTV kamier, ako aj IoT Devices rôzneho druhu.

Čo robí túto variantu Mirai?

To bolo odhadoval, že Mirai používali údržby rozhranie na nemecký modemov, viac špecificky malware napadol port 7547.

To umožnilo Mirai získať aj správcovský prístup k routerom, dáva právomoc vykonávať nič, ktoré môžu byť upravené z router’ s admin panel.

Akonáhle existuje kontrola nad smerovačov a ďalších IoT Devices worm útokov, sú “dali podnikať” dočasne.

Prečo Mirai úspešne napadnúť Devices

Podľa výskumník Darren Martyn, kto kontaktoval The Register, tam bolo niekoľko otázok, ktoré boli príležitostí pre červa, keď to prišlo na infikovanie užívateľov.

Prvé komplikácie pochádza z jednej z rozhrania Devices, nazvaný “TR-064″. Toto rozhranie bolo prístupné cez ita€™ s WAN port, ktorý je prepojený s internetom a prístroj možno spravovať na diaľku cez tento port bez akéhokoľvek overovania žiadostí vôbec.

Ale to nie je všetko, ďalšie rozhrania “TR-069″ má aj vydávanie umožniť TCP/IP port 7547, ktorý Mirai bol nakonfigurovaný využiť. Ale pretože 069 TR rozhranie je v podstate WAN protokol riadenia sa nepoužíva pre nič za nič. Faktom je, že väčšina ISP zvyčajne používajú veľmi protokol s cieľom riadiť svoje vlastné siete z diaľky a teda vyriešiť problémy rýchlejšie. Ale situácia je, že toto rozhranie je tiež pripojený k server, ktorý má kompatibilitu TR-064(the first issue). To znamená, že ak server je napadnutý na TR-064, môžete prijať tieto príkazy cez 7547 bez ďalšia konfigurácia a overenie medzi dve rozhrania.

Ďalším problémom podľa výskumníka je, že router mal iného nedostatočné zabezpečenie, ktoré je opäť na TR-064 rozhranie a umožňuje botnet vstreknite skripty príkazom a preto spôsobiť prístroj dočasné k ničomu.

A tento problém 069/064 nie je niečo, čo je prítomný na jeden alebo dva Devices rovnako. Martin tvrdí, objavil vyše 40 Devices vrátane Digicom, Aztech, D-Link a iné veľké mená zraniteľným voči exploit rovnako.

Toto je prípad, je teraz celkom jasné, prečo vírus sa stal tak rozšírený a to vyvoláva “nebezpečenstvo panel” Mirai útokov ešte viac. Majte na pamäti, že obetí tohto malware môže byť nielen užívateľov v Nemecku a vzhľadom na rýchlosť, akou sa šíri túto variantu, môže infikovať všetkých ISP na svete od tejto chvíle.

Zničenie Mirai

Poďme sa pozrieť na niekoľko hypotetických scenárov, ktoré môže nastať, keď tam bol útok Mirai. Ak útočník je ovládanie tejto upravenej verzii to znamená, že môžete zmeniť dôležité nastavenia, ako napríklad adresu DNS Devices použiť na pripojenie ako aj nastavenia, ktoré môžu umožniť mu snoop zásadné informácie od tých Devices. A nehovoríme len o krádež SSID a heslo wi-fi tu, týchto informácií je masívnej a možno aj používateľské heslá.

Ale to nie je všetko, pokiaľ ide o škody. Hacker pozadu tejto botnet môže tiež správa Devices a tu sa bavíme o kontrolu nad takmer 1 milión Devices cez ACS management softvér zvyčajne k dispozícii iba pre ISPA€™ s.

Problém je teraz opravený a dúfajme, že sa nebude opakovať v budúcnosti a odborníci sú stále pracujeme na tom. Medzitým všetkých používateľov Telecom mali zmeniť dôležité poverenia, ako sú heslá rozhodujúce účtov pre zvýšenie bezpečnosti.

Ako masívny útok bol objavený, spoločnosť zodpovedná za Devices, Deutsche Telekom záplatovaný smerovače a ponúka bezplatné pripojenie na Internet prostredníctvom ich mobilných Devices, aspoň kým sa vyrovnať s útoku.

Manuál Devices odstránenie sprievodca

Krok 1. Odinštalovať Devices a súvisiace programy

Systém Windows XP

1. Otvorte ponuku Štart a kliknite na položku Ovládací Panel
2. Vyberte položku Pridať alebo odstrániť programy
3. Vyberte nechcené aplikácie
4. Kliknite na tlačidlo Odstrániť

Windows 7 a Vista

1. Kliknite na tlačidlo Štart a vyberte Ovládací Panel
2. Prejsť na odinštalovanie programu
3. Kliknite pravým tlačidlom na podozrivú softvér
4. Vyberte odinštalovať

Windows 8

1. Presuňte ukazovateľ do ľavého dolného rohu
2. Kliknite pravým tlačidlom myši a otvorte Ovládací Panel
3. Vyberte odinštalovať program
4. Odstrániť nechcené aplikácie

Krok 2. Odstrániť Devices z vášho prehliadača

Odstrániť Devices od Internet Explorer

1. Otvorte IE a kliknite na ikonu ozubeného kolesa
   
2. Vyberte spravovať doplnky
   
3. Odstrániť nechcené rozšírenia
4. Zmena domovskej stránky: ikonu ozubeného kolieska → možnosti internetu (karta Všeobecné)
   
5. Obnovte prehľadávač: ikonu ozubeného kolieska → možnosti internetu (spresnenie)
6. Kliknite na tlačidlo obnoviť, začiarknite políčko a kliknite na tlačidlo obnoviť
   

Odstrániť Devices od Mozilla Firefox

1. Otvorte Mozilla a kliknite v ponuke
   
2. Doplnky a ísť na rozšírenie
3. Vyberte nežiaduce doplnku a kliknite na tlačidlo Odstrániť
   
4. Obnoviť Mozilla: Alt + H → informácie o riešení problémov
   
5. Kliknite na tlačidlo Reset Firefox, potvrďte ho a kliknite na tlačidlo Dokončiť
   

Odinštalovať Devices od Google Chrome

1. Otvorte Google Chrome a kliknite na ponuku
   
2. Zvoľte nástroje → rozšírenia
3. Vyberte doplnok a kliknite na ikonu koša
   
4. Zmeniť vaše vyhľadávače: Menu → nastavenia
5. Kliknite na položku Spravovať vyhľadávače pod Hľadať
   
6. Odstrániť nežiaduce vyhľadávač
   
7. Obnovte prehľadávač: nastavenia → obnoviť nastavenie prehľadávača
   
8. Kliknutím na tlačidlo obnoviť potvrďte akciu