image

Beveiligingslek in Mirai-botnet kan ddos-aanvallen stoppen

donderdag 27 oktober 2016, 15:39 door Redactie, 4 reacties

Onderzoekers hebben een beveiligingslek in de code van de Mirai-malware ontdekt waardoor het mogelijk is om besmette machines die ddos-aanvallen uitvoeren te stoppen. Mirai is malware die allerlei Internet of Things-apparaten via standaard wachtwoorden kan infecteren, zoals digitale videorecorders.

Eenmaal besmet worden de apparaten onderdeel van een botnet. De botnetbeheerder kan de besmette apparaten vervolgens inzetten voor het aanvallen van websites en internetdiensten. De code die wordt gebruikt voor het uitvoeren zogeheten http-flood-aanvallen bevat echter een kwetsbaarheid. Een aangevallen website kan hierdoor in theorie zelf een aanval op het besmette apparaat uitvoeren zodat die crasht en stopt met aanvallen.

"Deze eenvoudige "exploit' is een voorbeeld van een actieve verdediging tegen een IoT-botnet die ddos-beschermingsdiensten kunnen gebruiken om zich in real-time tegen een Mirai-gebaseerde http-flood-aanval te beschermen", zegt onderzoeker Scott Tenaglia van Invincea Labs. "Hoewel het niet kan worden gebruikt om de bot van het IoT-apparaat te verwijderen, kan het wel worden gebruikt om de aanval vanaf een bepaald apparaat te stoppen."

Tenaglia merkt echter op dat deze aanval alleen bij http-flood-aanvallen werkt. De Mirai-botnets die er afgelopen vrijdag voor zorgden dat een aantal grote websites niet of slecht bereikbaar waren maakten hierbij gebruik van een dns-gebaseerde aanval. De onderzoeker stelt echter dat er meer kwetsbaarheden in de code aanwezig zijn die kunnen helpen bij het afslaan van andere ddos-aanvallen die de bots kunnen uitvoeren.

Reacties (4)
27-10-2016, 21:25 door Anoniem
Jongens, de source code van Mirai is publiek. Binnen de kortste keren is deze "bug" gefixed....
28-10-2016, 09:02 door SPlid
Dus je moet terwijl je aangevallen wordt door miljoenen devices, als deze miljoenen devices aanvallen, oftewel alle ipjes verzamelen en dan deze dan aanvallen om de malware te laten crashen.

Mmmmm, klinkt mooi, maar ik zou in de praktijk wel eens willen zien hoe je dat zou moeten uitvoeren .....
28-10-2016, 10:54 door ph-cofi
Gaaf. "Terughacken" van de beste soort, doen wanneer de botnet in rust staat. "This IoT device will selfdistruct in 30 seconds".
Het is koude oorlog.
29-10-2016, 16:36 door Anoniem
Door ph-cofi: Gaaf. "Terughacken" van de beste soort, doen wanneer de botnet in rust staat. "This IoT device will selfdistruct in 30 seconds".
Het is koude oorlog.
Koude oorlog betekent dat er geen oorlog is, maar een dreiging er van.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.