סימטריה פיתחה מלכודת ל-Mirai - קוד זדוני ל-IoT
המלכודת (honeypot) לקוד הזדוני ל-IoT שאחראי למתקפת ה-DDoS הגדולה באוקטובר פותחה על ידי יחידת המחקר של חברת Cymmetria
עמי רוחקס דומבה
| 16/11/2016
bigstockphoto
במהלך חודש אוקטובר התרחשו התקפות DDoS, התקפות מניעת שירות, מהחמורות שנרשמו אי פעם. בין המתקפות הייתה מתקפת הבוטנטים נגועי ה-Mirai שבוצעה על Dyn, ספק אחסון רשומות ה- DNS, אשר גרמה לחוסר זמינות של חלק מהאתרים הגדולים בעולם, בהם Twitter ו- github. מתקפה זו הפכה את ה-DDoS לאחת מהדאגות הגדולות של עולם האבטחה ושל העולם העסקי. בהמשך להתקפה המדוברת, יצרה Cymmetria Research, יחידת המחקר של סימטריה, מלכודת דבש שנועדה לזהות וללכוד מתקפות Mirai.
"אחד החברים שלנו רצה מלכודת דבש פשוטה, באמצעותה יוכל לאסוף IoC מאומתים של Mirai, ובעיקר כתובות IP המנסות לסכן מערכות IoT, ואת דוגמיות הקוד הזדוני בהן הן מדביקות", אמר גדי עברון, מנכ"ל סימטריה.
בטרם הופעלה מתקפת ה-DDoS שגרמה להפלת Dyn, Mirai בנתה תשתית פעולה באמצעות חדירה למאות אלפי מכשירי אינטרנט של הדברים, כולל מצלמות רשת ומכשירים ביתיים שונים המחוברים לרשת. בשלב פעולה זה Mirai החדירה לאותם מכשירים קוד זדוני אשר המתין לפקודת הפעלה של תקיפת ה-DDoS. כאשר הפקודה הגיעה, מאות אלפי מכשירים שידרו במקביל פקודות לרשת הקורבן, במקרה זה Dyn, ולמעשה חנקו את משאבי המחשוב ורוחב הפס. בסימטריה רצו להתחקות אחרי אותו ניסיון הדבקה ראשוני של מכשירי IoT .
מלכודת הדבש ל- Mirai היא תוכנה אותה ניתן להפעיל ברשת, ומדמה מכשיר Internet of Things) IoT). כאשר התוקפים מזהים את התוכנה כמכשיר, הם מנסים להחדיר אליה את הקוד הזדוני, והדברים נרשמים בתוכנה. באמצעות המידע שנאסף, החוקרים יכולים לקבל פרטים חשובים על דרך הפעולה של Mirai ולמנוע התקפות נוספות.
יכולות מלכודת הדבש של Mirai -
1. מלכודת הדבש יכולה לזהות קישורים נכנסים מכל פורט המשתמש ב- telnetהיא יכולה לזהות במדויק את גרסת ה- Mirai, בהתבסס על הפקודות שהתבקשו מהשירות.
2. כל הפרמטרים שנעשה בהם שימוש לזיהוי Mirai (פורטים ופקודות) ניתנים להגדרה ולשינוי כדי לחפש גרסאות אחרות.
3. דיווח לשרת syslog
4. איסוף דוגמיות קוד זדוני ש- Mirai ניסה להדביק באמצעותם
השימוש בכלי הוא קל, שכן זהו סקריפט פייתון פשוט. עם זאת יש לו מספר מגבלות טכניות: בדומה לכל מלכודת דבש עם אינטראקציה נמוכה, גם לזו יש מגבלות הנובעות מהייעוד שלה לבצע אמולציה של שירות, ובמקרה זה הבקשה ש-Mirai שולח דרך קישור ה- telnet שלו, בהתבסס על קוד המקור הזמין ב- GitHub. לכן, ניתן להשיג טביעת אצבע שלה, אם מישהו משקיע בכך את המאמץ המתאים.
ניתן להוריד את מלכודת הדבש ל- Mirai מה- git של סימטריה - https://github.com/CymmetriaResearch/MTPot. בנוסף, אפשר להוריד את MazeRunner Community edition, גרסה חינמית של פלטפורמת ה-cyber deception של סימטריה, או להיכנס לאתר שלנו למידע נוסף.
המלכודת (honeypot) לקוד הזדוני ל-IoT שאחראי למתקפת ה-DDoS הגדולה באוקטובר פותחה על ידי יחידת המחקר של חברת Cymmetria
במהלך חודש אוקטובר התרחשו התקפות DDoS, התקפות מניעת שירות, מהחמורות שנרשמו אי פעם. בין המתקפות הייתה מתקפת הבוטנטים נגועי ה-Mirai שבוצעה על Dyn, ספק אחסון רשומות ה- DNS, אשר גרמה לחוסר זמינות של חלק מהאתרים הגדולים בעולם, בהם Twitter ו- github. מתקפה זו הפכה את ה-DDoS לאחת מהדאגות הגדולות של עולם האבטחה ושל העולם העסקי. בהמשך להתקפה המדוברת, יצרה Cymmetria Research, יחידת המחקר של סימטריה, מלכודת דבש שנועדה לזהות וללכוד מתקפות Mirai.
"אחד החברים שלנו רצה מלכודת דבש פשוטה, באמצעותה יוכל לאסוף IoC מאומתים של Mirai, ובעיקר כתובות IP המנסות לסכן מערכות IoT, ואת דוגמיות הקוד הזדוני בהן הן מדביקות", אמר גדי עברון, מנכ"ל סימטריה.
בטרם הופעלה מתקפת ה-DDoS שגרמה להפלת Dyn, Mirai בנתה תשתית פעולה באמצעות חדירה למאות אלפי מכשירי אינטרנט של הדברים, כולל מצלמות רשת ומכשירים ביתיים שונים המחוברים לרשת. בשלב פעולה זה Mirai החדירה לאותם מכשירים קוד זדוני אשר המתין לפקודת הפעלה של תקיפת ה-DDoS. כאשר הפקודה הגיעה, מאות אלפי מכשירים שידרו במקביל פקודות לרשת הקורבן, במקרה זה Dyn, ולמעשה חנקו את משאבי המחשוב ורוחב הפס. בסימטריה רצו להתחקות אחרי אותו ניסיון הדבקה ראשוני של מכשירי IoT .
מלכודת הדבש ל- Mirai היא תוכנה אותה ניתן להפעיל ברשת, ומדמה מכשיר Internet of Things) IoT). כאשר התוקפים מזהים את התוכנה כמכשיר, הם מנסים להחדיר אליה את הקוד הזדוני, והדברים נרשמים בתוכנה. באמצעות המידע שנאסף, החוקרים יכולים לקבל פרטים חשובים על דרך הפעולה של Mirai ולמנוע התקפות נוספות.
יכולות מלכודת הדבש של Mirai -
1. מלכודת הדבש יכולה לזהות קישורים נכנסים מכל פורט המשתמש ב- telnetהיא יכולה לזהות במדויק את גרסת ה- Mirai, בהתבסס על הפקודות שהתבקשו מהשירות.
2. כל הפרמטרים שנעשה בהם שימוש לזיהוי Mirai (פורטים ופקודות) ניתנים להגדרה ולשינוי כדי לחפש גרסאות אחרות.
3. דיווח לשרת syslog
4. איסוף דוגמיות קוד זדוני ש- Mirai ניסה להדביק באמצעותם
השימוש בכלי הוא קל, שכן זהו סקריפט פייתון פשוט. עם זאת יש לו מספר מגבלות טכניות: בדומה לכל מלכודת דבש עם אינטראקציה נמוכה, גם לזו יש מגבלות הנובעות מהייעוד שלה לבצע אמולציה של שירות, ובמקרה זה הבקשה ש-Mirai שולח דרך קישור ה- telnet שלו, בהתבסס על קוד המקור הזמין ב- GitHub. לכן, ניתן להשיג טביעת אצבע שלה, אם מישהו משקיע בכך את המאמץ המתאים.
ניתן להוריד את מלכודת הדבש ל- Mirai מה- git של סימטריה - https://github.com/CymmetriaResearch/MTPot. בנוסף, אפשר להוריד את MazeRunner Community edition, גרסה חינמית של פלטפורמת ה-cyber deception של סימטריה, או להיכנס לאתר שלנו למידע נוסף.
