rossos
Inlägg: 24
Blev medlem: 07 mar 2016, 09:14
Områden: honeypot, malware

Mirai, Gafgyt/Remaiten (relaterat till DynDNS-krashen)

26 okt 2016, 11:07

En liten update från mina Honeypots och port 23 (telnet).
Precis som tidigare står ett fåtal malware för nästan all trafik. Under våren/sommaren var det mest Remaiten/Gafgyt och nu är det blandat den och Mirai. Äldre släktingar syns också men i litet antal. Dessa är väldigt lika varandra och skiljer sig mest i på vilket sätt de undersöker systemet.
I princip testar de user/pass och om de kommer in så laddar de ner en kopia av sig själv i många plattformsvarianter. Mirai har lite bättre kontroll av systemet, försöker vara säker på att den lyckats logga in och att systemet inte är en honeypot innan den avslöjar malware-hosten (*så* smart är den inte). Mirai verkar också ha lite fler DDOS-options. Enda anledningen till att dessa funkar är alla IoT-device som har fasta lösenord eller samma default (kombinerat med människor som exponerar dem till Internet).
Som syntes härom dagen så kan en riktad attack ställa till med stora problem, info finns redan så inget som behöver upprepas. En sak som förbises i de flesta förklaringar är dock ett klassiskt dåligt design pattern man ofta ser på websiter: man låter frontserven hämta data från andra siter, ofta i något kort-cachat block. När tråden som tas till detta hänger så förbrukas trådarna en efter en och relativt snabbt går siten ner. (Det korrekta sättet att använda "live-hämtat" data är att låta en process i backend hämta och uppdatera detta content som vilket annat som helst, och att frontarna alltid servar den version de har.)