סימטריה משחררת מלכודת דבש לתוקפים שהפילו את האינטרנט באוקטובר

יחידת המחקר של סימטריה (Cymmetria), חברת הסייבר  הישראלית, יצרה מלכודת דבש שנועדה לזהות וללכוד מתקפות Mirai.

במהלך חודש אוקטובר התרחשה מתקפת מניעת שירות מבוזרת, DDoS, מהחמורות שנרשמו אי פעם.

המתקפה נמשכה כחצי יממה. מאות אתרי אינטרנט נפגעו ממנה, ביניהם רבים וגדולים בעולם, דוגמת אמזון (Amazon) טוויטר (Twitter), Airbnb, נטפליקס (Netflix), eBay, ספוטיפיי (Spotify), וכן אתרי מדיה וחדשות, כגון Financial Times, ניו יורק טיימס (New York Times) ו-CNN.

יעד המתקפה היה דיין (Dyn), חברת תשתיות אינטרנט וספקית שירותי DNS, שהשרתים שלה ממוקמים בניו המפשייר. דיין חוותה בוטנטים נגועי Mirai, אשר גרמה לחוסר זמינות של חלק מהאתרים הגדולים בעולם.

סימטריה מתמחה בפיתוח פתרונות להגנה מהתקפות סייבר באמצעות Cyber Deception. באמצעות פתרון זה, התוקפים יגשו אל סביבות שיועדו לכך – במקום למשאבי ה-IT האמיתיים בארגון.

חונקים את המשאבים

"אחד החברים שלנו רצה מלכודת דבש פשוטה, באמצעותה יוכל לאסוף IoC מאומתים של Mirai, ובעיקר כתובות IP המנסות לסכן מערכות אינטרנט של הדברים, ואת דוגמיות הקוד הזדוני בהן הן מדביקות", אמר גדי עברון, מנכ"ל סימטריה.

בטרם הופעלה מתקפת ה-DDoS שגרמה להפלת דיין, מיראי בנתה תשתית פעולה באמצעות חדירה למאות אלפי מכשירי אינטרנט של הדברים, כולל מצלמות רשת ומכשירים ביתיים שונים המחוברים לרשת. אז, היא החדירה לאותם מכשירים קוד זדוני, אשר המתין לפקודת הפעלה של תקיפת ה-DDoS. כאשר הפקודה הגיעה, מאות אלפי מכשירים שידרו במקביל פקודות לרשת הקורבן, במקרה זה דיין, וכך "חנקו" את משאבי המחשוב ורוחב הפס שלה.

בסימטריה רצו להתחקות אחרי אותו ניסיון הדבקה ראשוני של מכשירי אינטרנט של הדברים. מלכודת הדבש ל-Mirai היא תוכנה אותה ניתן להפעיל ברשת, ומדמה מכשיר אינטרנט של הדברים. כאשר התוקפים מזהים את התוכנה כמכשיר, הם מנסים להחדיר אליה את הקוד הזדוני, והדברים נרשמים בתוכנה.

באמצעות המידע שנאסף, החוקרים יכולים לקבל פרטים חשובים על דרך הפעולה של מיראי ולמנוע התקפות נוספות.

מלכודת הדבש יכולה לזהות קישורים נכנסים מכל פורט (מבואה) המשתמש ב-telnet והיא יכולה לזהות במדויק את גרסת ה-Mirai, בהתבסס על הפקודות שהתבקשו מהשירות. בנוסף, כל המדדים שנעשה בהם שימוש לזיהוי מיראי – פורטים ופקודות, ניתנים להגדרה ולשינוי כדי לחפש גרסאות אחרות.

עוד יכולה מלכודת הדבש לדווח לשרת syslog, כמו גם לאסוף דוגמיות קוד זדוני ש-Mirai ניסה להדביק באמצעותם. חוקרי החברה ציינו כי השימוש בכלי הוא קל, שכן זהו סקריפט Python פשוט.

ניתן להוריד את מלכודת הדבש ל- Mirai מה-git של סימטריה.