Home SicurezzaBotnet Una nuova Botnet complica la vita a Mirai: che contromisure prendere?

Una nuova Botnet complica la vita a Mirai: che contromisure prendere?

da Alvise C.
da Alvise C. Pubblicato: Aggiornato il: 0 commenti 3 minutes Leggi

Ricordate la famosa Botnet Mirai, autrice di uno dei più grandi attacchi informatici mai accaduti? Ebbene, sembra che vi sia un nuovo contendente in quanto a dimensioni e numero di computer infettati: infatti è stata scoperta la botnet Hajime dai ricercatori della Rapidity Networks, che usa la medesima porta TCP 23 tramite Telnet per accedere ai dispositivi ma, al contrario di Mirai, utilizza una rete P2P per la comunicazione, escludendo quindi server C&C centralizzati.

Infatti l’infezione è abbastanza complessa, visto che come primo passaggio viene scaricato un file  di grosse dimensioni, quindi viene scaricato il file di configurazione tramite la rete P2P e un software di scansione della rete, necessario per individuare altri dispositivi da attaccare.

Il creatore è un “white hat”

Il creatore della rete si dichiara un “White Hat”, ovvero un hacker etico che combatte gli abusi informatici: in effetti questa botnet va a mettere in “sicurezza” il dispositivo, chiudendo la porta 23 (Telnet), 7547 (CPE WAN Management Protocol), 5555 (Oracle WebCenter Content) e 5358 (WSDAPI Applications) che sono solitamente quelle prese di mira da botnet come Mirai e similari.  

Certo è che il comportamento del malware può cambiare da un momento all’altro: ora non ha funzionalità e capacità di eseguire attacchi DDOS, ma il suo comportamento potrà esser cambiato in futuro.  

Per ora la botnet ha raggiunto livelli di espansione considerevoli, infatti il tasso di infezione è salito vertiginosamente in paesi come il Brasile, Iran, Russia e Thailandia, Turchia e Vietnam e molti altri. 

Le contromisure

Per ora è possibile prendere delle contromisure, che possono essere:

  • limitare l’uso della rete wifi, se possibile, ed usare connessioni cablate
  • se usate reti wifi applicate la protezione massima, ovvero la WPA-PSK2 con password robuste
  • disabilitare l’accesso Telnet, usare come sostituto connessioni SSH
  • disabilitare se non necessari servizi come accesso web da remoto o funzionalità che possano abilitare l’accesso al dispositivo tramite servizi web o cloud
  • disabilitare funzionalità Plug and Play sui dispositivi ove non è in uso o strettamente necessaria
  • bloccare i pacchetti UDP che contengono traffico P2P 
  • bloccare connessioni TCP in particolare se contenenti la stringa /bin/busybox ECCHI inviata sulla porta 23
  • bloccare la porta TCP 4636 usata nel primo passaggio dell’infezione
Fonti:
Potresti Leggere:

Scelti Da Noi

Il matrimonio fra le Sound Blaster AE-7 e AE-9 e MuseScore 4 s’ha da fare
da Giovanni Correddu
Folding@home: una straordinaria opportunità di essere parte di qualcosa di grande!
da francé
Planet Coaster 2
da ScartOff

Posts a Random

IoT: La nostra prima applicazione
da pjtxw
Scoperto malware che si infiltrava nel Google Play Store
da Alvise C.
Risolti diversi problemi di log-in con gli ultimi aggiornamenti
da Alvise C.

Popular Categories

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Facebook Youtube Reddit
Privacy Policy Cookie Policy

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.