ZvětšitMemphis CVB
Organizátoři nového botnetu tvořili infikovaný domov a malý kancelářské směrovače brazenly prodávají útoky typu denial-of-service jednou nepředstavitelné objemy za pouhých 20 $ na cíl.
Skupina se nazývá Los Calvos de San Calvicie propagace několika služeb na tomto webu. Mezi služby patří distribuované útoky odmítnutí služby 290 až 300 gigabitů za druhý za 20 $ každý. Zatímco o třetinu velikost některé z největších zaznamenaných útoků, 290Gbps je stále dost, aby většinu webů snížilo pokud nehledají služby snižování DDoS, což v mnoha případech stojí značné množství peněz. Jen před pěti lety bylo 300 Gb / s považováno za dostatečný objem k vypnutí jádra Internetu infrastruktura.
ZvětšitRadware
Další čtení
100 000-silný botnet postavený na routeru 0-day mohl narazit na kohokoli Členové timeLos Calvos de San Calvicie byli spatřeni v sestavování botnet v posledních dnech, který má velmi pravděpodobně palebnou sílu vyžadováno k doručení silných slibovaných útoků. Podle Skupina Pascal Geenens, výzkumná pracovnice v bezpečnostní firmě Radware budování botnet využíváním dvou zranitelností: jedna v Směrovače RealTek, které používají zastaralý firmware a další v systému Windows Huawei HG532 router, kde patchreleased v Prosinec musí být nainstalován mnoha uživateli. Oba zranitelnosti jsou také zneužívány jinými Internetový botnet známý jako Satori.
Na rozdíl od většiny dosud viděných botanic IoT, které sledoval jeden Geenens, kterému říká JenX, používá hrstku na non-IoT serverech prohledat na internetu zranitelná zařízení a jakmile budou nalezeny, na využít je. Díky tomu je mnohem těžší odhadnout počet infikovaných zařízení, která tvoří JenX, protože simulované zranitelné routery, které Geenens používá ve své laboratoři ke sledování botnet vidí stejný omezený počet útočných serverů.
Další čtení
Posouzení hrozby, kterou bota Reaper představuje pro internet – co víme nyníKontrast, Mirai, Satori, Reaper a další IoT botnety spoléhají na infikovaná zařízení, aby našli a infikovaly zranitelné zařízení. To umožňuje včely, jako je Geenensův odhad velikost botnetu na základě počtu IP provádějících snímání. JenX dostane jméno od „Jennifer“, což je název malwaru vývojáři dali binární soubor, který infikuje zranitelná zařízení.
Devine Stream
Geenens řekl, že hlavním účelem botnetu je napadnout lidi hraní online hry Grand Theft Auto za určitý poplatek servery. To zase může zvýšit poptávku po hostování her sancalvicie.com. To je stejná doména, která hostí JenX příkazový a řídicí server. Propaguje se jako odolný k typům útoků, které Mirai a JenX používají k potlačení konkurenční hry hostitelé. Je to také stejná doména inzerující DDoS k pronájmu služby, které se zdají být vedlejší činností hry hosting.
Španělsky mluvící skupina dabovala svou službu DDoS Corriente Divina, což znamená „božský proud“. Hrubá angličtina překlad řádku služeb je „Boží hněv bude zaměstnané proti IP, které nám poskytujete. “
Skupina nabízí záplavy zdrojových dotazů a záplavy 32 bajtů, což jsou typy útoků DDoS, které jsou zvláště účinné snižování mnoha typů her pro více hráčů. DDoS služba také zahrnuje možnost „Down OVH“, pravděpodobně odkaz na poskytovatelem hostování ve Francii, který je známý pro hostování serverů pro hry pro více hráčů, včetně Minecraft. OVH byl cíl v roce útoky 2016 vedené botnety včetně Mirai, které se bouchly poskytovatel cloudu s 1,1 terabitů za sekundu nevyžádaného provozu, a záznam v té době. Je ironií, že v posledních několika dnech, Jennifer binární dodávaná do vykořisťovaných směrovačů byla hostována na IP adresa patřící OVH, řekl Geenens.
JenX je příkladem druhé generace botnetů IoT. Jako Mirai, živí se obrovským počtem nezabezpečených routerů, kamer, a další zařízení podporující síť naplňující internet. Že dodávka dává botnetům obrovské množství distribuovaných šířka pásma, která má kolektivní schopnost ochromit velké řádky internetu. Jednou slabinou v Mirai však byla jeho důvěra na výchozí hesla pro převzetí kontroly nad zařízeními. Jednou hesla se mění – buď výrobci, nebo majiteli zařízení – stává se Mirai neefektivní.
JenX, Satori, Reaper a další botanety IoT druhé generace toto omezení obešli využitím firmwaru zranitelnosti v zařízeních připojených k internetu. Infekce mechanismus je potenciálně mnohem účinnější, protože většina internetu věcí zařízení používají firmware založený na Linuxu, který je obvykle zastaralý čas odeslání. Mnoho zařízení nelze aktualizovat vůbec. Mnoho ostatní, které lze aktualizovat, jsou pro většinu neúměrně obtížné lidé dělat. To opouští botnety IoT druhé generace miliony zařízení k převzetí pomocí spolehlivých exploitů, které jsou často k dispozici online.
JenX se liší od většiny botanic IoT, protože, jak bylo uvedeno dříve se spoléhá na centralizované servery při vyhledávání a využívání zranitelná zařízení. To znamená, že jeho rychlost růstu je pravděpodobné zůstat konstantní. V e-mailu Geenens napsal:
Potenciál pro tento botnet je srovnatelný s Satori, jak to používá stejné stejné výhody. Rychlost růstu tohoto robota však bude ne být tak vysoký jako Satori, protože Satori používá roboty, které každý skenujte a využívejte sami – více robotů, více skenerů, více oběti, ještě více robotů, ještě více skenerů atd. tak exponenciální tempo růstu botnetů Mirai, Satori a Reaper. JenX botnet používá servery pro skenování a využívání zařízení, tak růst bude méně než lineární. Přidáním více serverů mohou aby to rostlo rychleji, ale nikdy nebude tak efektivní a agresivní jako Mirai, Satori a Reaper.
Geenens zveřejnil úplnou zprávu o svých nejnovějších zjištěních tady.
V době, kdy tento příspěvek začal fungovat, to Geenens řekl Arsovi týmy zneužívání v Leasewebu v Nizozemsku a Leasewebu v Německu se stáhly některé servery JenX využívají servery, které byly hostovány na jejich serverech datová centra. Geenens said that the C&C server remainsfunkční, stejně jako ostatní využívají servery.
„Toto jim pouze posílá zprávu, kterou potřebují lépe se před námi skrýt, “napsal výzkumník v e-mailu, s odkazem na operátory JenX. „Není tak snadné sundat kvalifikovaná hackerská skupina – nyní se poučí ze svých chyb. Mohli by přivést svou operaci do temné sítě, což je další výhoda používání centralizovaných exploitujících serverů. “
