Mirai là gì
mirai là phần mềm độc hại lây nhiễm các thiết bị thông minh chạy trên bộ xử lý vòng cung, biến chúng thành rô-bốt hoặc mạng botnet được điều khiển từ xa. Các botnet như vậy được gọi là botnet và thường được sử dụng để khởi động các cuộc tấn công ddos.
malware có nghĩa là phần mềm độc hại, một thuật ngữ bao gồm sâu máy tính, vi rút, ngựa thành Troy, rootkit và phần mềm gián điệp.
Tháng 9 năm 2016, tác giả của phần mềm độc hại mirai đã thực hiện một cuộc tấn công ddos vào trang web của một chuyên gia bảo mật nổi tiếng. Một tuần sau, họ phát hành mã nguồn ra thế giới, có thể là để che giấu nguồn gốc của cuộc tấn công. Mã này đã nhanh chóng bị sao chép bởi các tội phạm mạng khác và được cho là đứng sau một cuộc tấn công lớn đã đánh sập công ty đăng ký tên miền dyn vào tháng 10 năm 2016.
Cách mirai hoạt động
mirai quét Internet để tìm các thiết bị IoT chạy trên bộ xử lý vòng cung. Bộ xử lý chạy phiên bản rút gọn của hệ điều hành linux. Nếu không thay đổi kết hợp tên người dùng và mật khẩu mặc định, mirai có thể đăng nhập vào thiết bị và lây nhiễm nó.
Iot là từ viết tắt của Internet of Things, dùng để chỉ các thiết bị thông minh có thể kết nối với Internet. Các thiết bị này có thể là màn hình, phương tiện, bộ định tuyến mạng, thiết bị nông nghiệp, thiết bị y tế, thiết bị quan trắc môi trường, thiết bị gia dụng, camera dvr, cc, tai nghe hoặc máy dò khói.
Mạng botnet mirai đã sử dụng hàng trăm nghìn thiết bị IoT bị tấn công để đánh sập dyn.
Ai là người tạo ra botnet mirai
paras jha 21 tuổi và josiah white 20 tuổi đồng sáng lập protraf Solutions, một công ty cung cấp dịch vụ ứng phó với cuộc tấn công ddos. Hoạt động kinh doanh của họ là một trường hợp lừa đảo kinh điển khi họ cung cấp dịch vụ xử lý ddos cho các tổ chức bị phần mềm độc hại tấn công.
Tại sao phần mềm độc hại mirai vẫn nguy hiểm
Mặc dù những người tạo ra nó đã bị bắt nhưng mã nguồn của họ vẫn tồn tại. Nó sinh ra các biến thể như okiru, satori, masuta và puremasuta. Ví dụ: puremasuta có thể vũ khí hóa lỗi hnap trong thiết bị d-link. Mặt khác, sự căng thẳng biến các thiết bị IoT thành proxy cho phép tội phạm mạng ẩn danh.
Ngoài ra còn có một mạng botnet mạnh được phát hiện gần đây, có biệt danh là iotrooper và Reaper, có thể xâm nhập vào các thiết bị IoT với tốc độ nhanh hơn nhiều so với Mirai. Reaper có thể nhắm mục tiêu đến nhiều nhà sản xuất thiết bị hơn và giành quyền kiểm soát tốt hơn đối với rô-bốt của mình.
Các mô hình mạng botnet khác nhau
Mạng botnet tập trung
Nếu bạn coi botnet là một vở kịch trên sân khấu, thì máy chủ c&c (máy chủ chỉ huy và kiểm soát, còn được gọi là c2) chính là đạo diễn của nó. Các diễn viên trong chương trình là nhiều robot khác nhau bị nhiễm phần mềm độc hại và là một phần của mạng botnet.
Khi phần mềm độc hại lây nhiễm vào một thiết bị, bot sẽ phát ra tín hiệu theo thời gian để thông báo cho c&c rằng thiết bị hiện đã có mặt. Phiên này vẫn mở cho đến khi c&c sẵn sàng ra lệnh cho bot thực hiện spam, bẻ khóa mật khẩu, tấn công ddos…
Trong mạng botnet tập trung, c&c có thể gửi lệnh trực tiếp đến bot. Tuy nhiên, c&c cũng có một nhược điểm: nếu thất bại, mạng botnet sẽ trở nên kém hiệu quả hơn.
c theo cấp độ
Việc kiểm soát botnet có thể được tổ chức theo thứ bậc, với nhiều c&c. Các nhóm máy chủ chuyên dụng có thể được chỉ định cho các mục đích cụ thể, chẳng hạn như tổ chức các bot thành các nhóm con, phân phối nội dung cụ thể, v.v.
Mạng botnet phi tập trung
Các botnet ngang hàng (p2p) là thế hệ tiếp theo của các botnet. Thay vì giao tiếp với máy chủ trung tâm, bot p2p đóng vai trò là máy chủ chỉ huy và máy khách chỉ huy. Điều này tránh được các vấn đề lỗi duy nhất vốn có trong các mạng botnet tập trung. Bởi vì mạng botnet p2p hoạt động mà không có c&c sẽ khó bị đánh sập hơn. trojan.peacomm và Stormnet là những ví dụ về phần mềm độc hại đằng sau các botnet p2p.
Cách phần mềm độc hại biến thiết bị IoT thành rô-bốt hoặc thây ma
Nói chung, lừa đảo qua email là cách hiệu quả nhất để lây nhiễm vào máy tính. Nạn nhân bị lừa nhấp vào liên kết đến một trang web độc hại hoặc tải xuống tệp đính kèm bị nhiễm. Mã độc hại đôi khi được viết để phần mềm chống vi-rút thông thường không thể phát hiện ra.
Trong trường hợp của mirai, người dùng không cần phải làm gì khác ngoài việc giữ tên người dùng và mật khẩu mặc định trên thiết bị mới được cài đặt.
Mối liên hệ giữa Mirai và Gian lận nhấp chuột
PPC trả tiền cho mỗi lần nhấp chuột, còn được gọi là cpc chi phí mỗi lần nhấp chuột, là một hình thức quảng cáo trực tuyến trong đó các công ty trả tiền cho các trang web để hiển thị quảng cáo của họ. Thanh toán dựa trên số lượng khách truy cập vào trang web đã nhấp vào quảng cáo.
Khi dữ liệu cpc bị thao túng một cách gian lận, nó được gọi là gian lận nhấp chuột. Điều này có thể được thực hiện bằng cách yêu cầu mọi người nhấp vào quảng cáo theo cách thủ công, sử dụng phần mềm tự động hoặc rô bốt. Thông qua quá trình này, các trang web có thể tạo ra lợi nhuận gian lận bằng chi phí của các công ty đặt các quảng cáo này.
Tác giả ban đầu của mirai đã bị kết tội cho thuê mạng botnet của mình để thực hiện các cuộc tấn công ddos và gian lận nhấp chuột.
Tại sao Botnet lại nguy hiểm
Botnet có khả năng ảnh hưởng đến gần như mọi khía cạnh trong cuộc sống của mọi người, cho dù họ đang sử dụng thiết bị IoT hay Internet. Botnet có thể:
các cuộc tấn công của isp, đôi khi dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập hợp pháp
Gửi thư rác
Khởi xướng tấn công ddos và đánh sập trang web và api
Lừa đảo nhấp chuột
Sửa hình ảnh xác thực yếu trên các trang web để mô phỏng hành vi của con người trong quá trình đăng nhập
Ăn cắp thông tin thẻ tín dụng
Doanh nghiệp đe dọa tống tiền thông qua tấn công ddos
Tại sao khó ngăn chặn sự lây lan của botnet
Có nhiều lý do khiến việc ngăn chặn sự gia tăng của botnet trở nên khó khăn:
Chủ sở hữu thiết bị IoT
Không có chi phí hoặc gián đoạn dịch vụ, vì vậy chủ sở hữu không có động cơ để bảo mật các thiết bị thông minh.
Các hệ thống bị nhiễm virus có thể được làm sạch bằng cách khởi động lại, nhưng vì các bot quét có tốc độ không đổi nên chúng có thể hoàn tất trong vòng vài phút sau khi khởi động lại. Điều này có nghĩa là người dùng phải thay đổi mật khẩu mặc định ngay sau khi khởi động lại. Hoặc họ phải chặn thiết bị truy cập internet cho đến khi họ có thể đặt lại chương trình cơ sở và thay đổi mật khẩu ngoại tuyến. Hầu hết chủ sở hữu thiết bị không biết làm thế nào và cũng không quan tâm.
Có
<3
Nhà sản xuất thiết bị
Các nhà sản xuất thiết bị đầu tư ít hơn vào bảo mật cho các thiết bị giá rẻ. Quy trách nhiệm cho họ về các cuộc tấn công có thể là một cách để buộc thay đổi, mặc dù điều đó có thể không hiệu quả ở những khu vực mà việc thực thi pháp luật còn lỏng lẻo.
Vượt qua bảo mật thiết bị rất nguy hiểm: ví dụ: mirai có thể vô hiệu hóa phần mềm chống vi-rút, khiến việc phát hiện trở nên khó khăn.
Tầm quan trọng
Hơn 500 triệu thiết bị dựa trên bộ xử lý hồ quang tràn ngập thị trường mỗi năm, điều đó có nghĩa là số lượng thiết bị có thể được đưa vào mạng botnet khiến nó thậm chí còn mạnh mẽ hơn.
Đơn giản
Bộ công cụ botnet sẵn dùng loại bỏ sự phức tạp về mặt kỹ thuật. Bạn có thể thuê một mạng botnet với giá từ 14,99 USD đến 19,99 USD trong một tháng.
Tiêu chuẩn bảo mật Internet vạn vật toàn cầu
Không có sự đồng thuận về việc xác định và thực thi các tiêu chuẩn bảo mật IoT.
Mặc dù một số thiết bị cũng có các bản vá bảo mật nhưng người dùng có thể không biết hoặc không quan tâm đến các bản cập nhật. Nhiều nhà sản xuất thiết bị giá rẻ hoàn toàn không cung cấp bất kỳ hình thức bảo trì nào. Đối với những người chỉ có thể làm điều đó trong một thời gian ngắn. Cũng không có cách nào để tắt thiết bị khi các bản cập nhật không còn được duy trì, khiến chúng không an toàn vô thời hạn.
Thực thi pháp luật toàn cầu
Việc khó theo dõi và truy tố những kẻ tạo ra botnet khiến việc ngăn chặn sự lây lan của botnet trở nên khó khăn. Không có Interpol toàn cầu cho tội phạm mạng với các kỹ năng điều tra để làm như vậy. Các cơ quan thực thi pháp luật trên khắp thế giới thường không thể theo kịp tội phạm mạng công nghệ mới.
Nhiều mạng botnet hiện sử dụng kỹ thuật dns có tên là fast flux để ẩn các miền mà chúng sử dụng để tải xuống phần mềm độc hại hoặc lưu trữ các trang web lừa đảo. Điều này làm cho chúng cực kỳ khó theo dõi và hạ gục.
Việc lây nhiễm botnet có làm giảm hiệu suất của thiết bị IoT không?
Vâng. Đôi khi, một thiết bị bị nhiễm có thể chạy chậm, nhưng hầu hết thời gian thiết bị sẽ hoạt động tốt. Chủ sở hữu không có nhiều động lực để tìm cách loại bỏ nhiễm trùng.