Mirai là gì

Mirai là malware lây nhiễm vào các thiết bị thông minh chạy trên bộ xử lý ARC, biến chúng thành một mạng lưới các bot hoặc zombie được điều khiển từ xa. Mạng bot này, được gọi là botnet, thường được sử dụng để khởi động các cuộc tấn công DDoS.

Malware là viết tắt của phần mềm độc hại, là một thuật ngữ bao gồm sâu máy tính, virus, trojan, rootkit và phần mềm gián điệp.

Vào tháng 9 năm 2016, các tác giả của phần mềm độc hại Mirai đã thực hiện một cuộc tấn công DDoS vào trang web của một chuyên gia bảo mật nổi tiếng. Một tuần sau, họ tung mã nguồn ra thế giới, có thể nhằm che giấu nguồn gốc của cuộc tấn công đó. Mã này nhanh chóng bị sao chép bởi các tội phạm mạng khác và được cho là đứng sau cuộc tấn công lớn đã hạ gục nhà cung cấp dịch vụ đăng ký tên miền Dyn vào tháng 10/2016.

Mirai hoạt động như thế nào

Mirai quét Internet để tìm các thiết bị IoT chạy trên bộ xử lý ARC. Bộ xử lý này chạy một phiên bản rút gọn của hệ điều hành Linux. Nếu tổ hợp tên người dùng và mật khẩu mặc định không được thay đổi, Mirai có thể đăng nhập vào thiết bị và lây nhiễm nó.

IoT, viết tắt của Internet of Things, là một thuật ngữ chỉ các thiết bị thông minh có thể kết nối với Internet. Các thiết bị này có thể là màn hình, xe cộ, bộ định tuyến mạng, thiết bị nông nghiệp, thiết bị y tế, thiết bị giám sát môi trường, thiết bị gia dụng, DVR, camera CC, tai nghe hoặc máy dò khói.

Mạng botnet Mirai đã sử dụng hàng trăm nghìn thiết bị IoT bị tấn công để hạ gục Dyn.

Ai là người tạo ra botnet Mirai

Paras Jha 21 tuổi và Josiah White 20 tuổi đồng sáng lập Protraf Solutions, một công ty cung cấp các dịch vụ xử lý các cuộc tấn công DDoS. Doanh nghiệp của họ là một trường hợp lừa gạt kinh điển vì họ cung cấp dịch vụ xử lý DDoS cho chính các tổ chức mà phần mềm độc hại của họ đã tấn công.

Tại sao phần mềm độc hại Mirai vẫn nguy hiểm

Mặc dù những người tạo ban đầu của nó đã bị bắt, nhưng mã nguồn của họ vẫn tồn tại. Nó đã sinh ra các biến thể như Okiru, Satori, Masuta và PureMasuta. Ví dụ, PureMasuta có thể vũ khí hóa lỗi HNAP trong các thiết bị D-Link. Mặt khác, chủng OMG biến các thiết bị IoT thành các proxy cho phép tội phạm mạng ẩn danh.

Ngoài ra còn có một mạng botnet mạnh mẽ và được phát hiện gần đây, có biệt danh là IoTrooper và Reaper, có thể xâm nhập các thiết bị IoT với tốc độ nhanh hơn nhiều so với Mirai. Reaper có thể nhắm mục tiêu đến một số lượng lớn hơn các nhà sản xuất thiết bị và có quyền kiểm soát tốt hơn nhiều đối với các bot của nó.

Các mô hình mạng botnet khác nhau

Mạng botnet tập trung

Nếu bạn coi botnet như một vở kịch sân khấu, thì máy chủ C&C (Command and Control Server, còn được gọi là C2) chính là đạo diễn của nó. Các diễn viên trong vở kịch này là các bot khác nhau đã bị xâm nhập do nhiễm phần mềm độc hại và trở thành một phần của mạng botnet.

Khi phần mềm độc hại lây nhiễm vào một thiết bị, bot sẽ gửi các tín hiệu theo thời gian để thông báo cho C&C rằng thiết bị hiện đã tồn tại. Phiên kết nối này được giữ mở cho đến khi C&C sẵn sàng ra lệnh cho bot thực hiện các công việc như gửi thư rác, bẻ khóa mật khẩu, tấn công DDoS, ...

Trong một mạng botnet tập trung, C&C có thể truyền tải các lệnh trực tiếp đến các bot. Tuy nhiên, C&C cũng có một nhược điểm duy nhất: Nếu bị đánh sập, mạng botnet sẽ trở nên kém hiệu quả.

C & C theo cấp

Kiểm soát botnet có thể được tổ chức theo nhiều tầng, với nhiều C & C. Các nhóm máy chủ chuyên dụng có thể được chỉ định cho một mục đích cụ thể, ví dụ, để sắp xếp các bot thành các nhóm con, cung cấp nội dung được chỉ định, ... Điều này làm cho mạng botnet khó bị đánh sập hơn.

Mạng botnet phi tập trung

Mạng botnet ngang hàng (P2P) là thế hệ tiếp theo của mạng botnet. Thay vì giao tiếp với một máy chủ tập trung, các bot P2P hoạt động như một máy chủ lệnh và một máy khách nhận lệnh. Điều này tránh được vấn đề lỗi duy nhất vốn có đối với các mạng botnet tập trung. Bởi vì các mạng botnet P2P hoạt động mà không có C&C sẽ khó bị hạ hơn. Trojan.Peacomm và Stormnet là những ví dụ về phần mềm độc hại đằng sau mạng botnet P2P.

Làm thế nào phần mềm độc hại biến thiết bị IoT thành bot hay zoombie

Nói chung, lừa đảo qua email là một cách lây nhiễm máy tính hiệu quả rõ nhất. Nạn nhân bị lừa khi nhấp vào liên kết trỏ đến trang web độc hại hoặc tải xuống tệp đính kèm bị nhiễm. Nhiều khi mã độc được viết khiến cho phần mềm chống vi-rút thông thường không thể phát hiện ra.

Trong trường hợp của Mirai, người dùng không cần phải làm gì nhiều ngoài việc giữ nguyên tên người dùng và mật khẩu mặc định trên thiết bị mới được cài đặt.

Mối liên hệ giữa Mirai và gian lận nhấp chuột

Trả cho mỗi nhấp chuột PPC, còn được gọi là giá mỗi nhấp chuột CPC, là một hình thức quảng cáo trực tuyến trong đó một công ty trả tiền cho một trang web để hiển thị quảng cáo của họ. Việc thanh toán phụ thuộc vào số lượng khách truy cập của trang web đó đã nhấp vào quảng cáo đó.

Khi dữ liệu CPC bị thao túng một cách gian lận, nó được gọi là gian lận nhấp chuột. Điều này có thể được thực hiện bằng cách để mọi người nhấp vào quảng cáo theo cách thủ công, bằng cách sử dụng phần mềm tự động hoặc với bot. Thông qua quá trình này, lợi nhuận gian lận có thể được tạo ra cho trang web với chi phí của công ty đặt các quảng cáo đó.

Các tác giả ban đầu của Mirai đã bị kết án vì cho thuê mạng botnet của họ để thực hiện các cuộc tấn công DDoS và gian lận nhấp chuột.

Tại sao mạng botnet lại nguy hiểm

Botnet có khả năng tác động đến hầu hết mọi khía cạnh của cuộc sống của một người, cho dù họ có sử dụng thiết bị IoT hay thậm chí là Internet hay không. Botnet có thể:

Tấn công ISP, đôi khi dẫn đến từ chối dịch vụ đối với lưu lượng truy cập hợp pháp

Gửi email spam

Khởi động các cuộc tấn công DDoS và gỡ bỏ các trang web và API

Thực hiện gian lận nhấp chuột

Giải quyết các CAPTCHA yếu trên các trang web để bắt chước hành vi của con người trong khi đăng nhập

Đánh cắp thông tin thẻ tín dụng

Đòi tiền chuộc của công ty bằng cách đe dọa tấn công DDoS

Tại sao sự gia tăng botnet lại khó ngăn chặn

Có nhiều lý do tại sao rất khó để ngăn chặn sự gia tăng của mạng botnet:

Chủ sở hữu thiết bị IoT

Không có chi phí hoặc gián đoạn dịch vụ, vì vậy người chủ không có động cơ để bảo mật thiết bị thông minh.

Hệ thống bị nhiễm có thể được làm sạch bằng cách khởi động lại, nhưng vì quá trình quét tìm các bot diễn ra với tốc độ không đổi nên chúng có thể được hoàn thiện lại trong vòng vài phút sau khi khởi động lại. Điều này có nghĩa là người dùng phải thay đổi mật khẩu mặc định ngay sau khi khởi động lại. Hoặc họ phải ngăn thiết bị truy cập Internet cho đến khi họ có thể đặt lại chương trình cơ sở và thay đổi mật khẩu ngoại tuyến. Hầu hết chủ sở hữu thiết bị không biết cách cũng như không quan tâm.

ISP

Lưu lượng gia tăng trên mạng của từ thiết bị bị nhiễm thường không cao hơn so với lưu lượng phát trực tuyến phương tiện truyền thông tạo ra, vì vậy ít được quan tâm.

Nhà sản xuất thiết bị

Các nhà sản xuất thiết bị ít chú trọng đầu tư vào bảo mật các thiết bị giá rẻ. Việc buộc họ phải chịu trách nhiệm về các cuộc tấn công có thể là một cách để buộc thay đổi, mặc dù điều này có thể không hiệu quả ở các khu vực thực thi lỏng lẻo.

Bỏ qua bảo mật thiết bị sẽ gặp nguy hiểm lớn: Ví dụ, Mirai có thể vô hiệu hóa phần mềm chống vi-rút, điều này khiến việc phát hiện trở thành một thách thức.

Tầm quan trọng

Với hơn một tỷ rưỡi thiết bị dựa trên bộ xử lý ARC tràn ngập thị trường mỗi năm, tức là số lượng thiết bị này có thể được đưa vào mạng botnet làm nó mạnh hơn.

Sự đơn giản

Các bộ công cụ botnet sử dụng ngay giúp loại bỏ phức tạp về công nghệ. Chỉ với 14,99 đô la đến 19,99 đô la có thể thuê một mạng botnet ctrong cả tháng.

Tiêu chuẩn bảo mật IoT toàn cầu

Không có sự đồng thuận để xác định và thực thi các tiêu chuẩn bảo mật IoT.

Mặc dù các bản vá bảo mật cũng có cho một số thiết bị, nhưng người dùng có thể không biết hoặc không quan tâm đến việc cập nhật. Nhiều nhà sản xuất thiết bị giá rẻ hoàn toàn không cung cấp bất kỳ hình thức bảo trì nào. Đối với những người làm được cũng chỉ trong thời gian ngắn hạn. Cũng không có cách nào để tắt thiết bị khi các bản cập nhật không còn được duy trì, khiến chúng không an toàn vô thời hạn.

Thi hành luật toàn cầu

Khó khăn trong việc truy tìm và truy tố những kẻ tạo ra botnet khiến cho việc ngăn chặn sự gia tăng của botnet trở nên khó khăn. Không có Interpol toàn cầu về tội phạm mạng, với các kỹ năng điều tra tương ứng. Cơ quan thực thi pháp luật trên toàn cầu thường không thể theo kịp tội phạm mạng đối với những công nghệ mới.

Nhiều mạng botnet hiện sử dụng một kỹ thuật DNS được gọi là Fast Flux để ẩn các miền chúng sử dụng để tải xuống phần mềm độc hại hoặc để lưu trữ các trang web lừa đảo. Điều này khiến chúng cực kỳ khó theo dõi và hạ gục.

Sự lây nhiễm botnet có làm giảm hiệu suất cho các thiết bị IoT không

Nó có thể. Thỉnh thoảng, các thiết bị bị nhiễm virus có thể hoạt động chậm chạp, nhưng nó hầu như hoạt động như dự định. Chủ sở hữu không có nhiều động lực để tìm cách loại bỏ sự lây nhiễm.