image

Windows-versie Mirai-malware besmet ook Linux-apparaten

woensdag 8 februari 2017, 12:15 door Redactie, 17 reacties

Onderzoekers hebben nieuwe malware voor Windows ontdekt die ook in staat is om Linux-apparaten te infecteren. De Mirai Trojan, zoals de malware door het Russische anti-virusbedrijf Doctor Web wordt genoemd, gebruikt verschillende protocollen om machines aan te vallen.

Het gaat onder andere om ssh, telnet, rpc en rdp. Via verschillende combinaties van gebruikersnamen en wachtwoorden probeert de malware in te loggen. In het geval de aanval succesvol is downloadt Mirai een lijst met ip-adressen die de besmette machine vervolgens weer zal scannen en aanvallen. Alleen als er via het remote desktop protocol (rdp) op een computer is ingelogd wordt dit bestand niet gedownload.

Wanneer er via telnet met een Linux-machine verbinding wordt gemaakt, zal de malware de Linux-versie van Mirai op het apparaat downloaden. Daarnaast kan de malware ook via IPC (inter-process communications) opdrachten naar systemen sturen. Als aangevallen computers Microsoft SQL Server draaien zal de malware een gebruiker met beheerderrechten aanmaken.

Reacties (17)
08-02-2017, 12:53 door Anoniem
Ik zou de eerste zin anders schrijven:

"Onderzoekers hebben ontdekt dat de Mirai malware naast Linux / IoT nu ook Windows systemen kan besmetten. "

Nu lijkt het er op dat er nieuwe malware met de naam Mirai is aangetroffen, dat is onjuist aangezien Mirai al in 2016 was ontdekt.
08-02-2017, 13:14 door [Account Verwijderd]
[Verwijderd]
08-02-2017, 13:18 door Anoniem
Door Rinjani: Gatver! De Windows malware beperkt zich niet meer tot de eigen doelgroep maar probeert ook te shoppen op Linux systemen? Weinig kans natuurlijk (want wie laat z'n deuren nou open staan met telnet, ssh accounts met geen of zwakke wachtwoorden?).

bijvoorbeeld LAN, bij bedrijven zonder netwerksegmentatie.
08-02-2017, 13:24 door AceHighness
Door Rinjani: Gatver! De Windows malware beperkt zich niet meer tot de eigen doelgroep maar probeert ook te shoppen op Linux systemen? Weinig kans natuurlijk (want wie laat z'n deuren nou open staan met telnet, ssh accounts met geen of zwakke wachtwoorden?).

Bekijk de wereld met een roze linux bril ... Natuurlijk zijn alleen Windows admins zo dom om een simpel wachtwoord te gebruiken.
08-02-2017, 13:30 door Anoniem
want wie laat z'n deuren nou open staan met telnet, ssh accounts met geen of zwakke wachtwoorden?

ehm, iedereen?
08-02-2017, 14:54 door [Account Verwijderd] - Bijgewerkt: 08-02-2017, 15:42
[Verwijderd]
08-02-2017, 15:24 door Anoniem
Des te meer reden om Qubes OS of desnoods OpenBSD met Gnome op de 64-bits AMD laptop van mijn moeder te installeren.
08-02-2017, 15:38 door Anoniem
Door Rinjani:
Door AceHighness: Natuurlijk zijn alleen Windows admins zo dom om een simpel wachtwoord te gebruiken.

Dat klopt! [1]

[1] Een kwestie van statistiek: er zijn zoveel meer (desktop) Windows gebruikers dan (desktop) Linux gebruikers dat het aandeel van die laatsten is te verwaarlozen.

Hmmm... hebben het nou over gebruikers of admins?
08-02-2017, 16:09 door ph-cofi
Warrig verhaal met commerciele bijklank. Er komen schijnbaar onveilge windows desktops, SQLServer machines en kleupele Linux dingesen bij kijken. En Dr. Web heeft wonderolie.
08-02-2017, 17:22 door Anoniem
De grote Mirai Botnet attack vorig jaar Augustus werd al gedaan via een enorm netwerk van Linux devices. Ironisch genoeg NVR's voor een camerabeveiligingsysteem.
08-02-2017, 19:25 door karma4 - Bijgewerkt: 08-02-2017, 21:58
Door Rinjani:
Door AceHighness: Natuurlijk zijn alleen Windows admins zo dom om een simpel wachtwoord te gebruiken.

Dat klopt!

Een kwestie van statistiek: er zijn zoveel meer (desktop) Windows gebruikers dan (desktop) Linux gebruikers dat het aandeel van die laatsten is te verwaarlozen.
De grootste ddos aanval kwam van IOT Mirai geheel op de slimme linux inrichting gebaseerd met telnet admin admin etc. Fantastisch hoe slim ingericht dat allemaal is / was (?).
08-02-2017, 21:01 door Anoniem
https://github.com/jgamblin/Mirai-Source-Code

==>

https://github.com/jgamblin/Mirai-Source-Code/blob/master/mirai/bot/scanner.c

dan snap je dat ook weer.

die IoT meuk van fabrikanten komt gewoon met telnet open etc. het net op met vast gecodeerde std accounts:

https://www.grahamcluley.com/mirai-botnet-password/

de gebruiker / beheerder weet hier vaak niets van en vertrouwd vaak op de promisses van de glossy folders.
08-02-2017, 21:56 door [Account Verwijderd] - Bijgewerkt: 09-02-2017, 09:22
[Verwijderd]
08-02-2017, 22:02 door karma4
Door Rinjani:
Door Anoniem: die IoT meuk van fabrikanten komt gewoon met telnet open etc. het net op met vast gecodeerde std accounts

Inderdaad! Dergelijk amateuristisch geklungel van fabricanten van IoT-apparatuur heeft niets maar dan ook helemaal niets met de Linux te maken die ze als basis gebruikten. Zelfs het allerbeste slot op de allerbeste voordeur van je huis is waardeloos wanneer je de achterdeuren gewoon open laat staan.
Het wordt toch als veilig opgehemeld met Linux geen controle nodig want iedereen kan het zien.
Maar niemand kijkt er naar om en dat zijn de gevolgen. Grootste issue Pebchak ongeacht het OS van C-level architect tot operationele tikker.
09-02-2017, 11:39 door ph-cofi
Door karma4: (...) Pebchak (...) iedereen kan het zien (...)
In het geval van Mirai hebben consumenten spullen gekocht die aantoonbaar onveilig zijn gemaakt, zonder dat die consumenten er zelf iets aan kunnen verbeteren. M.a.w. vanachter je stoel kun je het niet nog stukker maken. "Iedereen kan het zien" is onterecht, immers, de source code van de IoT's is niet open beschikbaar bij de betreffende sleezy Chinese fabrikant. Daarnaast zal een gemiddelde consument daarin niet geïnteresseerd zijn, alleen een elite van liefhebbers gaat zover. Dit lijkt me een mooie taak voor een toezichthouder om met keurmerken e.d. de markt te beïnvloeden. Maar ik verwacht niet dat een dergelijk toezicht gaat ontstaan, omdat het afluisteren van IoT consumenten ook door overheden wordt gebezigd.
10-02-2017, 15:27 door Anoniem
Zucht, kunnen jullie stoppen er een Windows vs. Linux verpiswedstrijd van te maken?

Slecht beveiligde systemen zijn slecht beveiligd, ongeacht het besturingssysteem, en met alle moderne OSen zijn degelijke systemen te bouwen.

@karma4: ik vermoed dat je PEBKAC bedoelt.
11-02-2017, 08:13 door [Account Verwijderd] - Bijgewerkt: 11-02-2017, 08:16
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.