Najnovija Mirai varijanta cilja različite modele rutera, ali i druge mrežne uređaje. Ima mogućnost ubacivanja backdoora i izvršavanja DDoS napada. Za napade koristi 13 exploita.
Mirai malver je poznat po inficiranju IoT uređaja niskog nivoa bezbednosti, kao i po izvođenju razornih DDoS napada na različite platforme.
Sada su na udaru ruteri različitih proizvođača, uključujući D-Link, Linksys, GPON, Netgear, Huawei, kao i mrežni uređaji poput ThinkPHP, nekoliko CCTV-DVR vendora, UPnP, MVPower digitalni video rekorderi i Vacron mrežni video rekorder.
Ovo je prvi put da je Mirai upotrebio svih 13 exploita u jednoj kampanji. Malver se širi na nekoliko načina, a koristi 3 XOR ključa za kriptovanje podataka.
Istraživači su pronašli različite URL-ove povezane sa Mirai varijantom, uključujući C&C link, download i dropper linkove. Više informacija o procesu infekcije može se pronaći u samom kodu. Prva 3 exploita skeniraju specifične ranjivosti u ThinkPHP i nekim Huawei i Linksys ruterima, a ostali skeniraju drugih 10 ranjivosti. Mirai obavlja i Brute force napade koristeći nekoliko čestih kredencijala.
U prethodnoj kampanji, Mirai je koristio 11 od ovih 13 exploita, tako da su 2 exploita koja ciljaju Linksys i ThinkPHP RCE ranjivosti potpuno nova.
Prvi put svet je “upoznao” Mirai u velikim DDoS napadima 2016. godine.
Korisnicima pogođenih rutera i ostalih mrežnih uređaja se preporučuje da promene default kredencijale, kao i da uredno ažuriraju uređaje kako bi se eliminisale ranjivosti i sprečili ovakvi napadi.
Izvor: GB Hackers