Mirai хортой программ
Mirai хортой программ нь 2016 оны 8-р сард идэвхтэй тархаж байсныг MalwareMustDie хортой код шинжээчдийн бүлгэм анх олж илрүүлсэн ба уг хортой программ нь тус оны 9-р сард krebsonsecurity[.]com сайт руу 620 Гбит/c DDoS халдлага үйлдэж байсан гэдгээрээ алдартай. Гэвч хортой программыг зохиосон этгээд 2016.09.30-ны өдөр hackforums[.]net сайтад тухайн хортой программын эх код болон хэрхэн ажиллуулах зааврыг нийтэлсний улмаас бусад хортой программ хөгжүүлэгчид түүний кодыг сайжруулах замаар mirai төрлийн хортой программын тархалтыг нэмэгдүүлсээр байна.
Mirai хортой программын бусдаас ялгарах шинж нь table буюу User agent, exploit payload, C&C серверийн домэйн хаяг зэрэг мэдээллийг XOR ашиглан шифрлэдэг бөгөөд энэ удаагийн хортой код нь “DEDEFBAF” үгийг доорх алгоритмаар оруулан эцсийн түлхүүрийг гаргаж авч байгаа бөгөөд encrypted table нь 2 түлхүүрээр задарч байна. “0x22” түлхүүрээр гарган авсан string-үүд нь халдлагад ашиглагдах HTTP payloadууд байгаа 0x54 түлхүүр үгээр гаргаж авсан string-үүд нь тухайн төхөөрөмж дээр persistence хийх, C&C сервертэй холбогдоход шаардлагатай командуудын мэдээллийг агуулж байна. Үүнээс гадна Mirai хортой программ нь IoT төхөөрөмжийн telnet протоколоор хандан сул эвсэл үйлдвэрлэгчийн үндсэн нэвтрэх, нууц үгийг таах зарчмаар эзлэн авч халдварладаг бөгөөд энэ удаагийн шинжилгээ хийж буй хортой программ нь нууц үгсийг ашиглаж байна.
Түүнчлэн тухайн хортой программ нь бусад төхөөрөмжийг эзлэхдээ төхөөрөмжийн дараах Remote Code Execution /RCE/ эмзэг байдлыг ашиглаж байгаа нь тогтоогдсон.
▪ CVE-2018-10561: WEB Dasan GPON Routers Command Injection
▪ Linksys E-series router: tmUnblock.cgi command injection
▪ Think PHP 5.X : Remote command execution
▪ CVE-2014-8361: Realtek SDK - OS command injection
▪ CVE-2017-17215: Huawei router – Remote code execution
▪ CVE-2015-2051: D-Link – Remote code execution
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Mirai.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Mirai.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Mirai хортой кодыг хайна.
Жишээ нь:
- C дискээс Mirai хортой программыг хайх команд: "yara64.exe -r Mirai.yara C:\ 2>NUL"
- D дискээс Mirai хортой программыг хайх команд: "yara64.exe -r Mirai.yara D:\ 2>NUL"
rule Detect_Specific_File
{
meta:
description = "Detects file with specific SHA256 hash"
hash= "5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"
condition:
hash.sha256(0,filesize)==
"5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"
}
• Mirai хортой программын persistence хийх аргачлал нь тийм ч сайн биш учраас ихэнх тохиолдолд төхөөрөмжийг restart хийхэд процессоо дахин эхлүүлж чаддаггүй.
• Төхөөрөмжийг reset хийх telnet нэвтрэлтийн нууц үгийг хүчирхэг болгох.
• firmware-ын хувилбарыг хамгийн сүүлийн хувилбар болгон ахиулах зэрэг арга хэмжээг авна.