Eksperti iz kompanije Kaspersky Lab analizirali su prvo širenje Mirai malvera u operativnom sistemu Windows kako bi zatvorili sve Mirai botnete. Windows bot je kreirao neko ko je mnogo veštiji od napadača koji su pokrenuli DDoS napade u 2016. godini, što predstavlja zabrinjavajuću činjenicu za buduće mete Mirai napada. Autor malvera je verovatno neko sa kineskog govornog područja. Podaci kompanije Kaspersky Lab ukazuju na napade na oko 500 jedinstvenih sistema u 2017. godini i postoji rizik da će biti napadnuta tržišta u razvoju koja su dosta uložila u povezane tehnologije.
Širenje malvera u okviru operativnog sistema Windows opasnije je od originalnog Mirai malvera koji funkcioniše putem koda. Kapacitet za širenje Mirai malvera ograničen je, može samo da prenosi Mirai botove od inficiranog Windows-a do ranjivog IoT uređaja i to ukoliko je sposoban da uspešno obavi brute-force pretragu daljinske telnet konekcije.
Uprkos ograničenjima, kod je očigledno delo iskusnijeg programera za koga se pretpopstavlja da je nov u Mirai igri. Jezički tragovi u softveru, činjenica da je kod sastavljen na kineskom sistemu sa serverima koji se održavaju u Tajvanu i zloupotreba ukradenih kodova za potpisivanje iz kineskih kompanija, ukazuju na to da je programer poreklom sa kineskog govornog područja.
,,Prelazak Mirai malvera sa operativnog sistema Linux na operativni sistem Windows postaje sve veći problem budući da se pojavljuju sve iskusniji programeri. Objavljivanje izvornog koda za Zeus bankarskog Trojanca u 2011. godini donelo je brojne probleme za onlajn zajednicu, a lansiranje Mirai IoT bot izvornog koda u 2016. godini će dovesti Internet u isti problem. Iskusniji napadači koji imaju sve sofisticiranije veštine i tehnike počinju da koriste slobodno dostupan Mirai kod. Windows botnet koji prenosi IoT Mirai botove omogućava širenje Mirai malvera na nove dostupne uređaje i mreže koje su prethodno bile nedostupne Mirai ’rukovodiocima“. Ovo je samo početak,“ rekao je Kurt Baumgartner, glavni bezbednosni istraživač u kompaniji Kaspersky Lab.
Prema telemetrijskim podacima kompanije Kaspersky Lab, napadnuto je skoro 500 sistema u 2017 godini od strane ovog Windows bota. Na osnovu lokacije IP adresa uključenih u drugu fazu napada, najranjivije zemlje su tržišta u razvoju koja su mnogo investirale u povezane tehnologije poput Indije, Vijetnama, Saudijske Arabije, Kine, Irana, Brazila, Maroka, Turske, Malavija, Ujedinjenih Arapskih Emirata, Pakistana, Tunisa, Rusije, Moldavije, Venecuele, Filipina, Kolumbije, Rumunije, Perua, Egipta i Bangladeša.
Kompanija Kaspersky Lab sarađuje sa CERT-om, hosting provajderima i mrežnim operaterima kako bi ukazala na ovu pretnju. Brzo i uspešno uklanjanje ovih servera umanjuje rizik i opasnost koje predstavljaju sve popularniji IoT botneti.
Proizvodi kompanije Kaspersky Lab pomažu pri detekciji i štite od Windows i Mirai botova.
Relevantne stavke za ovo istraživanje su:
Trojan.Win32.SelfDel.ehlq
Trojan.Win32.Agentb.btlt
Trojan.Win32.Agentb.budb
Trojan.Win32.Zapchast.ajbs
Trojan.BAT.Starter.hj
Trojan-PSW.Win32.Agent.lsmj
Trojan-Downloader.Win32.Agent.hesn
Trojan-Downloader.Win32.Agent.silgjn
Backdoor.Win32.Agent.dpeu
HEUR:Trojan-Downloader.Linux.Gafgyt.b
DangerousPattern.Multi.Generic (UDS)
Kako bi pročitali više o alatima i tehnikama ovog malvera zasnovanog na Windowsu, možete pročitati blog na Securelist.com.