במהלך חודש אוקטובר התרחשו התקפות DDoS, התקפות מניעת שירות, מהחמורות שנרשמו אי פעם. בין המתקפות הייתה מתקפת הבוטנטים נגועי ה-Mirai שבוצעה על Dyn, ספק אחסון רשומות ה- DNS, אשר גרמה לחוסר זמינות של חלק מהאתרים הגדולים בעולם, בהם Twitter ו- github. מתקפה זו הפכה את ה-DDoS לאחת מהדאגות הגדולות של עולם האבטחה ושל העולם העסקי. בהמשך להתקפה המדוברת, יצרה Cymmetria Research, יחידת המחקר של סימטריה, מלכודת דבש שנועדה לזהות וללכוד מתקפות Mirai.

סימטריה מתמחה בפיתוח פתרונות להגנה מהתקפות סייבר באמצעות Cyber Deception. באמצעות פתרון זה, התוקפים יגשו אל סביבות שיועדו לכך במקום למשאבים אמיתיים בארגון.

"אחד החברים שלנו רצה מלכודת דבש פשוטה, באמצעותה יוכל לאסוף IoC מאומתים של Mirai, ובעיקר כתובות IP המנסות לסכן מערכות IoT, ואת דוגמיות הקוד הזדוני בהן הן מדביקות", אמר גדי עברון, מנכ"ל סימטריה.

בטרם הופעלה מתקפת ה-DDoS שגרמה להפלת Dyn, Mirai בנתה תשתית פעולה באמצעות חדירה למאות אלפי מכשירי אינטרנט של הדברים, כולל מצלמות רשת ומכשירים ביתיים שונים המחוברים לרשת. בשלב פעולה זה Mirai החדירה לאותם מכשירים קוד זדוני אשר המתין לפקודת הפעלה של תקיפת ה-DDoS. כאשר הפקודה הגיעה, מאות אלפי מכשירים שידרו במקביל פקודות לרשת הקורבן, במקרה זה Dyn, ולמעשה חנקו את משאבי המחשוב ורוחב הפס. בסימטריה רצו להתחקות אחרי אותו ניסיון הדבקה ראשוני של מכשירי IoT .

מלכודת הדבש ל- Mirai היא תוכנה אותה ניתן להפעיל ברשת, ומדמה מכשיר Internet of Things) IoT). כאשר התוקפים מזהים את התוכנה כמכשיר, הם מנסים להחדיר אליה את הקוד הזדוני, והדברים נרשמים בתוכנה. באמצעות המידע שנאסף, החוקרים יכולים לקבל פרטים חשובים על דרך הפעולה של Mirai ולמנוע התקפות נוספות.

יכולות מלכודת הדבש של Mirai:
1. מלכודת הדבש יכולה לזהות קישורים נכנסים מכל פורט המשתמש ב- telnetהיא יכולה לזהות במדויק את גרסת ה- Mirai, בהתבסס על הפקודות שהתבקשו מהשירות.
2. כל הפרמטרים שנעשה בהם שימוש לזיהוי Mirai (פורטים ופקודות) ניתנים להגדרה ולשינוי כדי לחפש גרסאות אחרות.
3. דיווח לשרת syslog
4. איסוף דוגמיות קוד זדוני ש- Mirai ניסה להדביק באמצעותם

השימוש בכלי הוא קל, שכן זהו סקריפט פייתון פשוט. עם זאת יש לו מספר מגבלות טכניות: בדומה לכל מלכודת דבש עם אינטראקציה נמוכה, גם לזו יש מגבלות הנובעות מהייעוד שלה לבצע אמולציה של שירות, ובמקרה זה הבקשה ש-Mirai שולח דרך קישור ה- telnet שלו, בהתבסס על קוד המקור הזמין ב- GitHub. לכן, ניתן להשיג טביעת אצבע שלה, אם מישהו משקיע בכך את המאמץ המתאים.

ניתן להוריד את מלכודת הדבש ל- Mirai מ-git של סימטריה.

בנוסף, מומלץ לשקול להוריד את MazeRunner Community edition, גרסה חינמית של פלטפורמת ה-cyber deception של סימטריה, או להיכנס לאתר למידע נוסף.

*הודעה לעיתונות

שתף:
-פרסומת-
מדור ההודעות לעיתונות של האתר נותן במה לחדשות ולהכרזות המתרחשות בשוק הישראלי. זהו שירות לציבור קוראי האתר והכתבות פורסמו כלשונן וככתבן. אין האתר אחראי על תוכן הכתבה והוא אינו קשור או מושפע מכך.