'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers'

Uit onderzoek van verschillende universiteiten en bedrijven, waaronder Akamai, Cloudflare en Google, blijkt dat de ddos-aanval op provider Dyn van vorig jaar samenhing met een aanval op onder meer Xbox Live en het PlayStation Network.

Deze conclusie komt voor in het bijbehorende onderzoek, dat onlangs op de Usenix-conferentie werd gepresenteerd. De paper gaat in op het Mirai-botnet en volgt het gedurende een periode van zeven maanden. Het botnet werd ingezet voor aanvallen op bekende doelwitten, zoals de blog van onderzoeksjournalist Brian Krebs en dns-provider Dyn. Over die laatste aanval schrijven de onderzoekers dat deze plaatsvond tussen aanvallen op andere doelen, zoals Xbox Live, PSN en wellicht de servers van Valve.

De auteurs schrijven: "Dit gedragspatroon suggereert dat de aanval op Dyn van 21 oktober 2016 niet alleen gericht was op Dyn. De aanvaller richtte zich hoogstwaarschijnlijk op game-infrastructuur, waardoor incidenteel de dienstverlening van Dyn werd getroffen." Ze merken op dat de aanval was uitgevoerd door cluster 6. Na de release van de broncode van Mirai aan het einde van september 2016 ontstonden er volgens de onderzoekers namelijk verschillende varianten van het botnet.

Ze verbonden deze aan de hand van actieve en passieve dns-gegevens met verschillende clusters, die allemaal een eigen infrastructuur hadden en waarschijnlijk door verschillende partijen werden bestuurd. Zo was cluster 1 betrokken bij de grote ddos-aanvallen op Krebs en hoster OVH. Vervolgens werden twee andere clusters, waaronder nummer 6, groter rond de helft van oktober. Dat bleek dan ook het grootste cluster te zijn.

Het onderzoek gaat ook in op andere aspecten van het Mirai-botnet, waaronder de eerste infectie van iot-apparaten, zoals digitale videorecorders en ip-camera's. Zo bleek dat er op 1 augustus 2016 een eerste 'bootstrapping'-scan plaatsvond vanaf de bulletproof hoster DataWagon. Deze duurde ongeveer twee uur. Veertig minuten later ontstond het Mirai-botnet.

Binnen de eerste minuut raakten 834 apparaten geïnfecteerd en begonnen ze naar andere doelwitten te scannen. Binnen tien minuten was het aantal geïnfecteerde apparaten opgelopen tot 11.000 en na twintig uur waren dat er 64.500. Volgens de onderzoekers is dit nog langzaam vergeleken met andere wormen, zoals Code Red en Blaster. Het botnet bereikte eind november zijn hoogtepunt met 600.000 infecties. Eind februari van dit jaar, de laatste maand van de observaties, was het alweer geslonken tot 100.000 apparaten. De meeste getroffen systemen waren te vinden in Brazilië, Colombia en Vietnam, gevolgd door China.

Door Mirai getroffen apparaten en bijbehorende wachtwoorden

IT-banen

Reacties (32)

Dracoz 21 augustus 2017 11:12

Mensen moeten gewoon niet dom zijn en de standaard wachtwoorden eens aan gaan passen.
9/10 apparaten zit tegenwoordig nog een default password op.

jmerle @Dracoz • 21 augustus 2017 11:16

Kunnen fabrikanten hier niet een handje bij helpen? Gewoon bij installatie de gebruiker forceren het wachtwoord te veranderen en een lijstje van de meest gebruikte 1000 wachtwoorden inbouwen en die allemaal verbieden. Dan een linkje erbij naar een nieuws artikel over bijv. het Mirai-botnet en dan heb je zo een fors aantal gebruikers met een not-so-default wachtwoord lijkt me.

Niet Henk @jmerle • 21 augustus 2017 12:15

Nextcloud doet dit al, buiten dat ze een lijst van 1.000.000 wachtwoorden gebruiken. Veel effectiever, omdat het argument van @SMD007 dan grotendeels wegvalt (je hebt alle veelgebruikte wachtwoorden, inclusief veelvoorkomende Nederlandse namen, dan al geblokkeerd, dus je zal toch iets unieks moeten bedenken).

Ik ben er behoorlijk voor dit breder te implementeren.
(Nadeel: als beheerder krijg ik wel eens de "Waarom kan ik dit wachtwoord niet gebruiken?". Dan meteen mensen uitleggen dat dat een slecht wachtwoord is)

cracking cloud @Niet Henk • 21 augustus 2017 13:42

en niet een van deze 306 320 miljoen wachtwoorden gebruiken

[Reactie gewijzigd door cracking cloud op 24 juli 2024 16:00]

Niet Henk @cracking cloud • 21 augustus 2017 15:18

Die lijst is wel 11.9GB groot na uitpakken. In de gemiddelde router ga je die niet terugvinden, dus (tenzij je (een SHA1 van je) ingevoerde wachtwoord naar een online service gaat sturen, wat een risico op zich is.

Mogelijk iets leuks om in een password manager te integreren, maar eerlijk gezegd is die grootte van de lijst gewoon een serieus bezwaar. Zelfs op mijn desktop zou ik dat liever niet hebben staan (terwijl 1/320ste van de lijst voor mij een stuk minder bezwaar vormt).

cracking cloud @Niet Henk • 21 augustus 2017 16:12

Er is een API.
Zolang je het over HTTPS verstuurt zou het goed moeten gaan, tenzij je op een netwerk zit waarbij de provider/antivirus gaat lopen rommelen met certificaten.

Niet Henk @cracking cloud • 21 augustus 2017 16:24

Je vertrouwt de auteur van de site. Je verstuurt toch je wachtwoorden naar een derde partij, en dat is iets wat ik zeker liever vermijd. Hij kan gehackt worden (of niet te vertrouwen zijn) en zeker als het gaat over wachtwoorden die voor de rest enkel voor offline gebruik zijn, is dat iets wat ik gewoon liever niet doe.

SSL is zeker leuk tegen MITM, maar het helpt niks als de server waarmee je verbind gehackt is.

Daarnaast heb je een internetverbinding nodig, iets wat je niet wilt als je heel correct bent en je beveiligingscamera's en recorder (o.i.d.) in een apart airgapped netwerk hangt. Je kan natuurlijk het gewoon gebruiken als er een internetverbinding is en anders niet, maar dat is een halve implementatie.

Je kan het natuurlijk zelf gaan hosten, zodat je enkel jezelf en je eigen certificaten hoeft te vertrouwen, en het in je eigen airgapped netwerk kan zetten, maar dat is erg veel gedoe.

Het mooie aan de oplossing van Nextcloud is dat het volledig offline werkt, iets wat voor mij een vrij hard criterium is als het gaat om wachtwoordmanagement.

[Reactie gewijzigd door Niet Henk op 24 juli 2024 16:00]

SMD007 @jmerle • 21 augustus 2017 11:24

en een lijstje van de meest gebruikte 1000 wachtwoorden inbouwen en die allemaal verbieden

mensen kenende worden wachtwoord 1001 tot 2000 dan meest gebruikt. Mensen zijn hardleers en vooral als het aankomt op wachtwoorden vaak te simpel ingesteld als in ach dat overkomt mij niet.

Zoop @SMD007 • 21 augustus 2017 11:50

Toch zou het al een hele verbetering zijn als die apparaten in ieder geval niet allemaal een default wachtwoord hebben. Dit is gewoon te makkelijk, je kan zo'n apparaat bruteforcen in enkele pogingen (soms zelfs 1 poging!). Zouden ze maar een zwak wachtwoord gebruiken op zijn minst, dat vertien/honderdvoudigt de aantal bruteforce pogingen al zo'n beetje.

Marty007 @SMD007 • 21 augustus 2017 12:15

Haha inderdaad.. het enige nut is dat ze de eerste 1000 niet als eerste hoeven te proberen dus de brute force manier zal in Veel gevallen nog sneller gaan .

Ik blijf voorstanders van 2 way. Zeker voor dingen als routers etc. Zodra je router het aflegd is de rest vaak niet eens beveilig omdat mensen zich veilig wanen achter hun eigen firewall

RoestVrijStaal @jmerle • 21 augustus 2017 12:12

Waarom niet by default een (semi)random password genereren ipv dat de gebruiker zelf het wiel moet uitvinden?

Zolang de gebruiker die password niet op het internet zet gaat het goed.

the_shadow @Dracoz • 21 augustus 2017 11:26

Eigenlijk is het heel eenvoudig. By default zou er een random password moeten zijn ingesteld (met het wachtwoord vervolgens op een stickertje op het aparaat), met een verplichting om bij de eerste keer instellen van het ding dit wachtwoord te veranderen (met een zekere complexiteit eis). Het maakt geen fluit uit of dit soort wachtwoorden worden opgeschreven, digitale aanvallen zijn in deze veel gevaarlijker dan een fysieke inbreker.

[Reactie gewijzigd door the_shadow op 24 juli 2024 16:00]

Olaf van der Spek @the_shadow • 21 augustus 2017 11:45

met een verplichting om bij de eerste keer instellen van het ding dit wachtwoord te veranderen

Waarom?

the_shadow @Olaf van der Spek • 21 augustus 2017 11:48

Goed punt, met hoe dan ook een random wachtwoord op het ding is het ook niet meer nodig om het te veranderen.

Zodiac @the_shadow • 21 augustus 2017 12:28

Mwoah, nee, ik vind dat de gebruiker van een apparaat ook een stukje verantwoordelijkheid mag dragen. Een wachtwoord instellen kost weinig moeite. Leer je de gebruiker gelijk dat ze een wachtwoordatabase moeten gebruiken (Keepass/Lastpass et cetera).

Noem het maar een stukje gebruikersopvoeding. Je neemt ook niet deel aan het verkeer zonder eerst de regels te leren, waarom zou dit voor computergebruik anders zijn?

the_shadow @Zodiac • 21 augustus 2017 13:13

Je neemt ook niet deel aan het verkeer zonder eerst de regels te leren, waarom zou dit voor computergebruik anders zijn?

Dat ben ik absoluut met je eens, maar helaas is de werkelijkheid weerbarstiger. Alles moet gebruiksvriendelijker, en iedereen moet mee kunnen doen op internet, dus alles wat dit tegen staat zal op de een of andere manier toch wel omzeild worden. Prima als ze alleen zichzelf er mee hebben (slecht wachtwoord op Facebook oid), maar op het moment dat hun devices gebruikt worden binnen een botnet is het niet alleen de gebruiker die er last van heeft.

Nox @the_shadow • 21 augustus 2017 13:16

Als het random wachtwoord een input heeft (bijv. een hash van het mac-adres of serienummer) is dat te reproduceren. Zo zijn er routers geweest die op basis van X een password genereerden, dit was te herleiden en alle machines waren zo opeens toegankelijk. Als je het zelf wijzigt is dat vaak al beter.

Olaf van der Spek @Dracoz • 21 augustus 2017 11:18

Mensen moeten gewoon niet dom zijn

Het probleem is, onder andere, mensen die dit soort dingen blijven roepen. We zouden onderhand toch moeten begrijpen dat dit *niet* werkt?

HKLM_ @Dracoz • 21 augustus 2017 11:18

Zolang mensen niet hard gedwongen worden hun password te veranderen bij de eerste setup veranderd er niks. Henk & Ingrid kan het niks schelen zolang hun wifi of wat dan ook het maar doet.

Nox @HKLM_ • 21 augustus 2017 13:18

Ik heb ook het vermoeden dat men er geen nadeel in ziet. Als iemands facebook raar doet is dat 'gehacked' en vroeger werd je msn ook wel gehacked.

Ooit had een collega het idee een Internet-examen te introduceren. Heb je die niet kan je gewoon niet het Internet op, op een of andere manier. Dat zou wat zijn

burne @Dracoz • 21 augustus 2017 11:44

Mirai gebruikt bij voorkeur backdoor-accounts. En die kun je niet aanpassen en vaak ook niet uitzetten.

Brousant @Dracoz • 21 augustus 2017 11:58

Mensen moeten gewoon niet dom zijn (...)

Het woord "gewoon" betekent eigenlijk dat iets heel gebruikelijk is, en waar dus niets moeilijks aan is.
Het wordt echter vaker wel dan niet gebruikt in verband met iets dat daarvan het tegenovergestelde is: waar juist veel haken en ogen aan zitten, of zelfs iets dat überhaupt onmogelijk is...

Shaedys @Dracoz • 21 augustus 2017 14:17

Je kan dit prima zeggen, maar dat gaat mensen niet veranderen. Dan zit er volgend jaar nog steeds een default wachtwoord op (in sommige gevallen niet eens mogelijk te veranderen), en is het probleem er nog steeds.

Van der Berg 21 augustus 2017 11:07

Vreselijk om dit te lezen en die landen moeten de veiligheid nog scherper maken om zulke aanvallen te voorkomen

sspiff @Van der Berg • 21 augustus 2017 11:13

De apparaten die je op het Internet hangt is niet gereguleerd door de overheid, en gezien de snelheid waarmee nieuwe apparaten op de markt komen kan je dit ook moeilijk reguleren op een nationaal niveau.

Wat kan helpen is een internationale samenwerking om boetes op te leggen aan bedrijven die onvoldoende investeren in de beveiliging van de apparaten die ze op de markt brengen, maar ik betwijfel of China hieraan zal willen meewerken, en zonder de vele Chinese fabrikanten in het vizier te nemen zal elke actie weinig effect hebben.

Verwijderd @sspiff • 21 augustus 2017 13:37

Nou ja, daar kan je dan door een invoerverbod dan wel weer paal en perk aan stellen... Geen deelname aan een universeel veiligheidsprotocol? Geen toegang.

CivLord

@sspiff • 21 augustus 2017 15:37

Wat kan helpen is een internationale samenwerking om boetes op te leggen aan bedrijven die onvoldoende investeren in de beveiliging van de apparaten die ze op de markt brengen, maar ik betwijfel of China hieraan zal willen meewerken, en zonder de vele Chinese fabrikanten in het vizier te nemen zal elke actie weinig effect hebben.

Totdat een Botnet van iot-apparaten de servers van de Great FireWall lastig valt, dan komt er in no-time wetgeving die flinke eisen aan de beveiliging van nieuwe iot-apparaten zal stellen.

Ed Vertijsment @Van der Berg • 21 augustus 2017 11:18

Of apparaten moet gewoon bijgewerkt worden en goed achter een firewall gezet worden. Echt landsgrenzen heeft het internet niet.

Natuurlijk kan landelijke regelgeving wel verbetering brengen in welke apparaten de markt betreden maar daarmee kan je eigenlijk alleenmaar infecties verminderen omdat over de grens het nog steeds kan gebeuren.

Bjorn89 @Ed Vertijsment • 21 augustus 2017 13:17

En dat is maar goed ook. (internet landgrenzen, zoals Firewall van china)

Internet is nog een van de weinige echt vrije mediums, grenzeloos, internationaal.

Als de anarchistische grond van internet weggaat....

[Reactie gewijzigd door Bjorn89 op 24 juli 2024 16:00]

dumptiedom 21 augustus 2017 13:21

Wel grappig dat tussen het lijstje ook het wachtwoord "fucker" staat. haha, dit is waarschijnlijk geen standaardwachtwoord

RVNetwork @dumptiedom • 21 augustus 2017 13:50

Het zou je verbazen denk ik, die gevallen waarin je er achterkomt dat je buurjongen op je WiFi zit (met je standaard wachtwoord), of je huisgenoot de QoS aanpast in de router, je ex-vriend(in) nog in je e-mail box zit.. Uit frustratie snel je wachtwoord veranderen.. "fucker", "klootzak", "pissoff"

dumptiedom @RVNetwork • 21 augustus 2017 15:55

ik ga direct mijn wachtwoord maar eens vernieuwen haha

Op dit item kan niet meer gereageerd worden.

'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers'

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: