mirai là gì
mirai là một phần mềm độc hại lây nhiễm các thiết bị thông minh chạy trên bộ xử lý vòng cung và biến chúng thành mạng botnet hoặc thây ma được điều khiển từ xa. Mạng lưới bot này, được gọi là mạng botnet, thường được sử dụng để thực hiện các cuộc tấn công ddos.
malware có nghĩa là phần mềm độc hại, là thuật ngữ bao gồm sâu máy tính, vi rút, ngựa thành Troy, rootkit và phần mềm gián điệp.
vào tháng 9 năm 2016, tác giả của phần mềm độc hại mirai đã thực hiện một cuộc tấn công ddos vào trang web của một chuyên gia bảo mật nổi tiếng. một tuần sau, họ phát hành mã nguồn ra thế giới, có thể là để che giấu nguồn gốc của cuộc tấn công. mã này đã nhanh chóng bị tội phạm mạng khác sao chép và được cho là đứng sau cuộc tấn công quy mô lớn nhằm đánh sập công ty đăng ký tên miền dyn vào tháng 10 năm 2016.
cách mirai hoạt động
mirai quét internet để tìm các thiết bị iot chạy trên bộ xử lý vòng cung. Bộ xử lý này chạy phiên bản rút gọn của hệ điều hành Linux. nếu tổ hợp tên người dùng và mật khẩu mặc định không được thay đổi, mirai có thể đăng nhập vào thiết bị và lây nhiễm cho thiết bị.
iot, viết tắt của internet vạn vật, là thuật ngữ chỉ các thiết bị thông minh có thể kết nối với internet. các thiết bị này có thể là màn hình, phương tiện, bộ định tuyến mạng, thiết bị nông nghiệp, thiết bị y tế, thiết bị giám sát môi trường, thiết bị gia dụng, đầu ghi hình, camera một chiều, tai nghe hoặc thiết bị báo khói.
mạng botnet mirai đã sử dụng hàng trăm nghìn thiết bị iot bị tấn công để đánh sập dyn.
ai là người tạo ra botnet mirai
paras jha 21 tuổi và josiah white 20 tuổi đồng sáng lập giải pháp protraf, một công ty cung cấp dịch vụ chống lại các cuộc tấn công ddos. hoạt động kinh doanh của họ là một trường hợp lừa đảo cổ điển vì họ cung cấp dịch vụ quản lý ddos cho chính các tổ chức mà phần mềm độc hại của họ đã tấn công.
tại sao phần mềm độc hại mirai vẫn nguy hiểm
mặc dù người tạo ban đầu của nó đã bị bắt nhưng mã nguồn của nó vẫn tồn tại. đã tạo ra các biến thể như okiru, satori, masuta và puremasuta. ví dụ: puremasuta có thể xây dựng lỗi hnap trên thiết bị d-link. mặt khác, dòng omg biến các thiết bị iot thành proxy cho phép tội phạm mạng ẩn danh.
Ngoài ra còn có một mạng botnet mạnh mẽ và mới được phát hiện gần đây có tên là iotrooper and Reaper, có thể xâm nhập các thiết bị iot nhanh hơn nhiều so với mirai. máy gặt có thể nhắm mục tiêu đến nhiều nhà sản xuất thiết bị hơn và có khả năng kiểm soát tốt hơn nhiều đối với các bot của mình.
các mô hình mạng botnet khác nhau
mạng bot tập trung
Nếu bạn coi botnet như một vở kịch, thì máy chủ c&c (máy chủ chỉ huy và kiểm soát, hay còn gọi là c2) chính là giám đốc của nó. Các diễn viên trong vở kịch này là nhiều bot khác nhau đã bị xâm nhập do lây nhiễm phần mềm độc hại và trở thành một phần của mạng botnet.
Khi phần mềm độc hại lây nhiễm vào một thiết bị, bot sẽ gửi tín hiệu theo thời gian để thông báo cho c&c rằng thiết bị đã tồn tại. phiên này vẫn mở cho đến khi c&c sẵn sàng ra lệnh cho bot thực hiện những việc như gửi thư rác, bẻ khóa mật khẩu, tấn công ddos, …
trong một mạng botnet tập trung, c&c có thể phát lệnh trực tiếp tới các bot. tuy nhiên, c&c cũng có một nhược điểm duy nhất: nếu nó bị loại bỏ, mạng botnet sẽ trở nên kém hiệu quả hơn.
c & c mỗi cấp độ
kiểm soát botnet có thể được tổ chức thành nhiều lớp, với nhiều c & c. Các nhóm máy chủ chuyên dụng có thể được chỉ định cho một mục đích cụ thể, ví dụ: để tổ chức các bot thành các nhóm con, phân phối nội dung cụ thể, v.v. chặn nhiều hơn.
mạng botnet phi tập trung
botnet ngang hàng (p2p) là thế hệ tiếp theo của botnet. Thay vì giao tiếp với một máy chủ tập trung, các bot p2p hoạt động như một máy chủ chỉ huy và máy khách chỉ huy. điều này tránh được vấn đề lỗi đơn vốn có trong các mạng botnet tập trung. bởi vì các botnet p2p hoạt động mà không có c&c sẽ khó bị loại bỏ hơn. trojan.peacomm và Stormnet là những ví dụ về phần mềm độc hại đằng sau mạng botnet p2p.
cách phần mềm độc hại biến thiết bị iot thành bot hoặc thây ma
Nói chung, lừa đảo qua email là cách hiệu quả nhất để lây nhiễm vào máy tính. Nạn nhân bị lừa nhấp vào liên kết trỏ đến một trang web độc hại hoặc tải xuống tệp đính kèm bị nhiễm. đôi khi mã độc được viết khiến phần mềm diệt vi rút thông thường không thể phát hiện được.
trong trường hợp của mirai, người dùng không cần làm gì nhiều ngoài việc giữ tên người dùng và mật khẩu mặc định trên thiết bị mới cài đặt.
liên kết giữa mirai và gian lận nhấp chuột
ppc pay per click, còn được gọi là giá mỗi cpc click, là một hình thức quảng cáo trực tuyến trong đó một doanh nghiệp trả tiền cho một trang web để hiển thị quảng cáo của mình. khoản thanh toán tùy thuộc vào số lượng khách truy cập vào trang web đó đã nhấp vào quảng cáo đó.
Khi dữ liệu cpc bị thao túng một cách gian lận, nó được gọi là gian lận nhấp chuột. Điều này có thể được thực hiện bằng cách yêu cầu mọi người nhấp vào quảng cáo theo cách thủ công, sử dụng phần mềm tự động hoặc bằng bot. thông qua quá trình này, trang web có thể kiếm được lợi nhuận gian lận bằng chi phí của công ty đặt những quảng cáo đó.
các tác giả ban đầu của mirai đã bị kết tội cho thuê mạng botnet của họ để thực hiện các cuộc tấn công ddos và gian lận nhấp chuột.
tại sao botnet lại nguy hiểm
botnet có khả năng ảnh hưởng đến hầu hết mọi khía cạnh trong cuộc sống của một người, cho dù họ sử dụng thiết bị iot hay thậm chí là internet. botnet có thể:
tấn công isp, đôi khi dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập hợp pháp
gửi thư rác
khởi động các cuộc tấn công ddos và đánh sập các trang web và apis
thực hiện gian lận nhấp chuột
giải mã hình ảnh xác thực yếu trên các trang web để bắt chước hành vi của con người trong quá trình đăng nhập
ăn cắp thông tin thẻ tín dụng
đòi tiền chuộc từ cuộc tấn công ddos đe dọa của công ty
tại sao khó ngăn chặn sự phát triển của botnet
Có nhiều lý do khiến việc ngăn chặn sự gia tăng của botnet trở nên khó khăn:
chủ sở hữu thiết bị iot
Không có chi phí hoặc gián đoạn dịch vụ, vì vậy chủ sở hữu không có động lực để bảo vệ các thiết bị thông minh.
Các hệ thống bị nhiễm có thể được làm sạch bằng cách khởi động lại, nhưng vì quá trình quét bot được thực hiện ở tốc độ không đổi nên chúng có thể được hoàn tất lại trong vòng vài phút sau khi khởi động lại. điều này có nghĩa là người dùng phải thay đổi mật khẩu mặc định ngay sau khi khởi động lại. hoặc họ phải ngăn thiết bị truy cập internet cho đến khi họ có thể đặt lại chương trình cơ sở và thay đổi mật khẩu ngoại tuyến. hầu hết chủ sở hữu thiết bị không biết cách thực hiện hoặc không quan tâm.
isp
<3
nhà sản xuất thiết bị
các nhà sản xuất thiết bị đầu tư ít hơn vào bảo mật so với các thiết bị giá rẻ. quy trách nhiệm cho họ về các cuộc tấn công có thể là một cách để buộc thay đổi, mặc dù điều này có thể không hiệu quả ở những khu vực mà ứng dụng còn lỏng lẻo.
Vượt qua bảo mật thiết bị là một mối nguy hiểm lớn: ví dụ: mirai có thể vô hiệu hóa phần mềm chống vi-rút, khiến phần mềm này khó bị phát hiện hơn.
tầm quan trọng
với hơn một tỷ rưỡi thiết bị dựa trên bộ xử lý vòng cung tràn ngập thị trường mỗi năm, điều này có nghĩa là số lượng thiết bị có thể được đưa vào mạng botnet khiến nó trở nên mạnh mẽ hơn.
sự đơn giản
bộ công cụ botnet sẵn dùng giúp loại bỏ sự phức tạp về công nghệ. chỉ với $14,99 đến $19,99, bạn có thể thuê một mạng botnet trong cả tháng.
tiêu chuẩn bảo mật toàn cầu của iot
Không có sự đồng thuận để xác định và thực thi các tiêu chuẩn bảo mật của iot.
Mặc dù các bản vá bảo mật cũng có sẵn cho một số thiết bị, nhưng người dùng có thể không biết hoặc không quan tâm đến việc nâng cấp. nhiều nhà sản xuất thiết bị giá rẻ không cung cấp bất kỳ hình thức bảo trì nào. cho những người có thể làm điều đó chỉ trong một thời gian ngắn. cũng không có cách nào để tắt nguồn thiết bị khi các bản cập nhật không còn được lưu giữ, khiến chúng không an toàn vô thời hạn.
thực thi pháp luật thế giới
Khó khăn trong việc theo dõi và truy tố những kẻ tạo botnet khiến việc ngăn chặn sự phát triển của botnet trở nên khó khăn. không có interpol toàn cầu về tội phạm mạng, với các kỹ năng điều tra tương ứng. Các cơ quan thực thi pháp luật trên khắp thế giới thường không thể theo kịp tội phạm mạng về công nghệ mới.
nhiều mạng botnet hiện sử dụng kỹ thuật dns được gọi là luồng nhanh để ẩn các miền mà chúng sử dụng để tải xuống phần mềm độc hại hoặc lưu trữ các trang web lừa đảo. điều này khiến chúng cực kỳ khó theo dõi và xóa.
việc lây nhiễm botnet có làm suy giảm thiết bị iot không
có thể. đôi khi các thiết bị bị nhiễm có thể chạy chậm, nhưng phần lớn chúng hoạt động như mong đợi. chủ sở hữu không có nhiều động lực để tìm cách loại bỏ nhiễm trùng.