Červ Hajime imunizuje elektroniku proti infekci Mirai  
Jaké jsou asi úmysly „dobrého“ červa Hajime? Pokud se nezajímáte o internetovou havěť, tak byste měli. Tihle červi se možná hemží u vás doma.

 

Svět biologických virů je naprosto fascinující. Zatím jsme jen tak nakoukli dovnitř, ale to, co jsme tam už viděli, nám vyrazilo dech. Gigantické viry, genoví loupežníci, metaboličtí piráti, virofágy, a kdovíkdo ještě, žijí v podivuhodných ekosystémech. Naprosto bezuzdně zneužívají své nešťastné hostitele, někdy navzájem spolupracují a jindy si zase jdou nelítostně po krku.

 

Botnet Mirai, říjen 2017. Kredit: Incapsula.
Botnet Mirai, říjen 2017. Kredit: Incapsula.

Viry jsou našimi smrtelnými nepřáteli, ale někdy, v duchu zásady „nepřítel mého nepřítele je mým přítelem“, jsou vlastně na naší straně – jako například bakteriofágy, jediná stvoření, kterých se doopravdy bojí bakterie. A nejde jenom o živý svět. Poslední dobou se ukazuje, že v elektronickém světě bují ekosystémy, které jsou těm biologickým překvapivě podobné.


Loni se stal populárním červem Mirai (japonsky budoucnost). Je to hnusný malware, který nakazí zařízení připojená k internetu a běžící na starších verzích Linuxu. Mirai je promění v dálkové ovládané boty, které je možné použít jako součást botnetu pro rozsáhlé útoky na síti. Mirai infikuje především online zařízení, jak jsou IP (síťové) kamery nebo domácí routery.


Tohle svinstvo bylo vystopováno v srpnu 2016 a dnes víme, že botnet Mirai byl nasazen do nejrozsáhlejších a nejvíce ničivých online útoků poslední doby. Týká se to například mohutného útoku ze dne 20. 9. 2016 na investigativního novináře Briana Krebse (Krebs on Security DDoS attack), který se zabýval vyšetřováním botnetů anebo mnohonásobného útoku na významného amerického poskytovatele DNS dne 21. října 2016 (Dyn DDoS attack), o němž jsme psali na OSLU. Povaha útoků Mirai podle mínění odborníků ukazuje, že zřejmě nepůjde o běžné hackery. Původ Mirai naznačují i útržky ruštiny v kódu Mirai. Kromě DDoS se Mirai věnuje i těžbě bitconů. Velmi rychle se rozšířil po celém světě a ČR rozhodně není výjimkou.

 

Infekce červem Hajime. Kredit: Symantec.
Infekce červem Hajime. Kredit: Symantec.

Mirai se v mnoha ohledech chová jako virus v buňce. Vyhýbá se protivirovým opatřením jako biologické viry imunitnímu systému. Zároveň neustále skenuje internet a záludně se šíří, přičemž využívá tabulku více než 60 běžně užívaných továrních hesel. Pozoruhodné je, že se Mirai chová jako predátor, který likviduje konkurenci. Cíleně totiž likviduje jiné červy a trojské koně a rovněž zakazuje vzdálený přístup k nakaženému zařízení. Podle analytiků to dělá, aby maximalizoval útočný potenciál botnetu a aby se bránil proti podobným útokům od jiného malwaru. Běžný uživatel infekci Mirai obvykle nepozná, kromě toho, že občas zlobí připojení, ale kdo by se nad něčím takovým pozastavoval?

 

Brian Krebs. Kredit: B. Krebs.
Brian Krebs. Kredit: B. Krebs.

V říjnu 2016 se objevil další z červů, který cílí na zařízení připojená k internetu. Nese jméno Hajime, tedy japonsky začátek. Tenhle červ je ale dost zvláštní. Přestože jeho původ a účel zůstávají nejasné, tak se zdá, že Hajime funguje jako vakcína proti Mirai. Používá stejnou tabulku hesel jako Mirai a infikuje veškerá nechráněná zařízení na internetu, k nimž se dostane. Tím ale podobnost s Mirai končí. Kód Hajime není vybaven k DDoS útokům, jenom se nenápadně šíří. Když nakazí nějakou kameru nebo router, tak zablokuje čtyři porty, o nichž je známo, že skrz ně proniká Mirai. Pak zanechá vzkaz, že je „white hat“, tedy od hackerů na světlé straně Síly, s podpisem Hajime Author.


Zní to jako pohádka. Dobrý červ pomáhá uživateli. Podobní červi skutečně existují, bývají za nimi třeba výrobci hardwaru nebo softwaru. Jenomže Hajime nemusí být tak bezzubý, jak vypadá. Nechová se moc legálně, intenzivně se šíří a ovládl již přes 300 tisíc zařízení po celém světě. Rozhodně není vyloučeno, že v určitou chvíli zradí a začne osnovat útoky. Jak je vidět v případě infekce Mirai, červi si konkurují a bojují mezi sebou. A když o sobě nějaký červ tvrdí, že jenom chrání internet, tak to může být skvělý trik proti konkurenci. Třeba Hajime čeká, jako když biologické viry v latentní, lyzogenní fázi čekají uvnitř buňky na vhodnou příležitost, a pak spustí devastující útok.


Ať už je Hajime beránek nebo vlk v rouše beránčím, každopádně pomáhá uživateli jenom dočasně. Stačí totiž zařízení „imunizované“ červem Hajime restartovat a imunita je pryč. Chráněné porty jsou opět otevřené a zranitelné infekcí Mirai. Jedinou známou spolehlivou léčbou proti Mirai a podobné verbeži tudíž zůstává aktualizování firmwaru zařízení připojených k internetu. A to červ Hajime za nikoho neudělá, stejně jako vštípení klíčové zásady měnit tovární hesla.

Video: Mirai Inside of an IoT Botnet

 


Mirai malware attack in less than a minute


Literatura
Extreme Tech 24. 4. 2017, Wikipedia (Mirai/malware)

Datum: 07.05.2017
Tisk článku

Související články:

Botnet Grum je mrtev     Autor: Stanislav Mihulka (20.07.2012)
Hackerský útok na Sony Pictures napáchal velké škody     Autor: Stanislav Mihulka (19.12.2014)
Jak může DDoS útok plošně zasáhnout nemalou část internetu?     Autor: Stanislav Mihulka (22.10.2016)



Diskuze:

jak k tomu vede drát

Zdeněk Syk,2017-05-15 17:22:47

(eventuelně bezdrát) je to potencionální problém a i zde platí "ne jestli, ale kdy".
v rámci chlazených potravin doporučuji ledničku a podobná zařízení odpojit, přijde mi opravdu "na hlavu" mít vše připojené k internetu a že nás k tomu postupně tlačí je evidentní.
vidím tím jen snahu mít další věci pod kontrolou a další dílek do skládačky "jak rozhodovat o všem" je zase o kousek blíž. pokud to náhodou nezneužije nějaká mocnost, či státní instituce, zneužije to někdo jiný, treba na těžbu bitcoinu, DDoS attacky nebo jiné.

mimo jiné se mi nedávno stalo... můj telefon mi ohlásil, že se někdo pod mým google účtem právě teď přihlásil, jestli se jedná o můj čin a jak chci postupovat dále (ignorovat, bloknout atd). byly přítomné i nějake indicie, podle kterých jsem později zjistil, že se jednalo o můj vlastní počítač doma, kde mám nastavený automatický login po spuštění systému. ja byl v práci a má draha polovička celý týden na chalupě. prostě se zapl sám. po příchodu domů byl ale vypnutý. z jakého důvodu by se měl počítač sám zapínat a vypínat?

z přáním hezkého dne přidám myšlenku, co teď asi tak dělá můj router :)
To, že jsem paranoidní, ještě neznamená, že po mně nejdou

Odpovědět

Je to jasný příklad "vrtěti psem

Karel Rabl,2017-05-08 15:37:29

Odpovědět


Re: Je to jasný příklad "vrtěti psem

Karel Rabl,2017-05-08 15:46:21

už v roce tuším 96 měli mocnosti k dispozici vyvolat škodlivý trojský kůň, přímo ze softvéru a je jedno jestli existovaly nějaké viry, které byly pouze nad stavbou naroubovanou na špatný kmen.Od té doby se možnosti Softvéru zlepšily natolik, že bych se nedivil, kdyby existovaly možnosti, třeba pokazit vaši ledničku.Jenom proto že jste "politicky nepohodlný".

Odpovědět


Re: Re: Je to jasný příklad "vrtěti psem

Karel Rabl,2017-05-08 16:07:30

Popletl jsem to měl jsem napsat softver pocházející z Hardvéru.Třeba paměti procesoru či pevného disku.

Odpovědět

Je to jasný příklad "vrtěti psem

Karel Rabl,2017-05-08 15:37:28

Odpovědět

Třeba?

Jiří Novák,2017-05-08 12:10:18

"Třeba Hajime čeká, jako když biologické viry v latentní, lyzogenní fázi čekají uvnitř buňky na vhodnou příležitost, a pak spustí devastující útok."

Třeba? Cožpak to se neví, jaké instrukce ten program obsahuje?

Odpovědět


Re: Třeba?

Roman Horváth,2017-05-08 14:39:40

Nie je to také jednoduché. Veľmi jednoduchý príklad: Vírus obsahuje zakryptovanú pasáž (ktorá sama o sebe môže byť podozrivá, ale idem uviesť len príklad), ktorej dekryptovanie by súčasnými prostriedkami (bez hesla) trvalo tristo rokov. Heslom je konkrétny systémový čas (ktorý však pozná len autor kódu). Vírus sa pravidelne pokúša túto svoju časť dekrytpovať, až raz – viola(!)… Je to ako časovaná bomba, ktorá „vybuchne“ v konkrétnom okamihu. (Toto je len z brucha vymyslený príklad – realita môže byť úplne iná, len som chcel ukázať, že to je možné.)

Odpovědět


Re: Re: Třeba?

Karel Rabl,2017-05-08 15:57:42

Já bych "systémový čas" nechal a tělo viru bych smazal(či hlavní část), útočník se stejně nedočká odpovědi od všech systémů o kterých neví, že infikoval, ale systém se mu ohlásí jako už napadený, proto na něj znovu nezaútočí, je to podobné jako s viry v těle.

Odpovědět


Re: Re: Re: Třeba?

Karel Rabl,2017-05-09 11:36:35

Nebyl čas ptát se kdo je kdo, muž s koženou brašnou nesmí projít...a zastřelili pošťáka.Musíme si přiznat, válka v kyberprostoru už probíhá, jen se o tom nikde nedovíte, nebo se ozvou ojedinělé hlasy od Osla.

Odpovědět

Fajn?

Alexandr Kostka,2017-05-08 10:29:03

Nevěřil bych tomu. Sice zavře jednu známou sadu nezabezpečených portů, ovšem samo to odněkud přijímá povely. Minimálně až někdo zjistí odkud a podstrčí tam svoje příkazy.. Prostě bude mít botnet pěkně předpřipravený.

Odpovědět


Re: Fajn?

Zdeněk Jícha,2017-05-09 00:10:45

Myslím, že jste to trefil. Japonský název (známý každému, kdo někdy dělal karate, tedy v podstatě celému světu) má spíše dezorientovat o původu a místě zrodu červa. Rovněž vystihuje přesně podstatu problému - ZAČÁTEK. Myslím, že sám autor ještě neví, jak s tím naloží, zatím se staví na stranu dobra, ale něco mi říká, že to hodlá prodat, a to by mohlo být skutečně nebezpečné.
Nikdy bych na takové nesmysly nevěřil, ale měl jsem nedávno velmi živý sen, který se opakoval několik nocí po sobě - červík se narodil zdravý, mrskal se ve skleničce, datumovka ukazovala červen 2016 a bylo to někde mezi Dobříší a Rožmitálem p/T.
Zlaté české ručičky, tedy hlavičky. Je až s podivem, tedy vlastně není, jak je Česko na té mapičce světlé...

Odpovědět


Diskuze je otevřená pouze 7dní od zvěřejnění příspěvku nebo na povolení redakce








Zásady ochrany osobních údajů webu osel.cz