Connect with us

אבטחת מידע ארגונית

Cymmetria מפרסמת מלכודת דבש לתוקפים שהפילו את האינטרנט

פורסם

ב-

במהלך חודש אוקטובר התרחשו התקפות DDoS, התקפות מניעת שירות, מהחמורות שנרשמו אי פעם. בין המתקפות הייתה מתקפת הבוטנטים נגועי ה-Mirai שבוצעה על Dyn, ספק אחסון רשומות ה- DNS, אשר גרמה לחוסר זמינות של חלק מהאתרים הגדולים בעולם, בהם Twitter ו- github. מתקפה זו הפכה את ה-DDoS לאחת מהדאגות הגדולות של עולם האבטחה ושל העולם העסקי. בהמשך להתקפה המדוברת, יצרה  Cymmetria Research, יחידת המחקר של סימטריה, מלכודת דבש שנועדה לזהות וללכוד מתקפות Mirai.

 

סימטריה מתמחה בפיתוח פתרונות להגנה מהתקפות סייבר באמצעות Cyber Deception. באמצעות פתרון זה,  התוקפים יגשו אל סביבות שיועדו לכך במקום למשאבים אמיתיים בארגון.

"אחד החברים שלנו רצה מלכודת דבש פשוטה, באמצעותה יוכל לאסוף IoC מאומתים של Mirai, ובעיקר כתובות IP המנסות לסכן מערכות IoT, ואת דוגמיות הקוד הזדוני בהן הן מדביקות", אמר גדי עברון, מנכ"ל סימטריה.

בטרם הופעלה מתקפת ה-DDoS שגרמה להפלת Dyn, Mirai בנתה תשתית פעולה באמצעות חדירה למאות אלפי מכשירי אינטרנט של הדברים, כולל מצלמות רשת ומכשירים ביתיים שונים המחוברים לרשת. בשלב פעולה זה Mirai החדירה לאותם מכשירים קוד זדוני אשר המתין לפקודת הפעלה של תקיפת ה-DDoS. כאשר הפקודה הגיעה, מאות אלפי מכשירים שידרו במקביל פקודות לרשת הקורבן, במקרה זה Dyn, ולמעשה חנקו את משאבי המחשוב ורוחב הפס. בסימטריה רצו להתחקות אחרי אותו ניסיון הדבקה ראשוני של מכשירי IoT .

Advertisement

מלכודת הדבש ל- Mirai היא תוכנה אותה ניתן להפעיל ברשת, ומדמה מכשיר Internet of Things) IoT). כאשר התוקפים מזהים את התוכנה כמכשיר, הם מנסים להחדיר אליה את הקוד הזדוני, והדברים נרשמים בתוכנה. באמצעות המידע שנאסף, החוקרים יכולים לקבל פרטים חשובים על דרך הפעולה של Mirai ולמנוע התקפות נוספות.

hummel-1353423_640

יכולות מלכודת הדבש של Mirai –

  1. מלכודת הדבש יכולה לזהות קישורים נכנסים מכל פורט המשתמש ב- telnetהיא יכולה לזהות במדויק את גרסת ה- Mirai, בהתבסס על הפקודות שהתבקשו מהשירות.
  2. כל הפרמטרים שנעשה בהם שימוש לזיהוי Mirai (פורטים ופקודות) ניתנים להגדרה ולשינוי כדי לחפש גרסאות אחרות.
  3. דיווח לשרת syslog
  4. איסוף דוגמיות קוד זדוני ש- Mirai ניסה להדביק באמצעותם

השימוש בכלי הוא קל, שכן זהו סקריפט פייתון פשוט. עם זאת יש לו מספר מגבלות טכניות: בדומה לכל מלכודת דבש עם אינטראקציה נמוכה, גם לזו יש מגבלות הנובעות מהייעוד שלה לבצע אמולציה של שירות, ובמקרה זה הבקשה ש-Mirai שולח דרך קישור ה- telnet שלו, בהתב
סס על קוד המקור הזמין ב- GitHub. לכן, ניתן להשיג טביעת אצבע שלה, אם מישהו משקיע בכך את המאמץ המתאים.

ניתן להוריד את מלכודת הדבש ל- Mirai מה- git של סימטריה-

https://github.com/CymmetriaResearch/MTPot

Advertisement