Mirai botnet – lây lan qua các thiết bị IoTs

By | 3:00 pm | 24/10/2016

mirai

Đây là loại botnet không được xây dựng để điều khiển các máy tính mà hướng đến các thiết bị IoT (Internet of Things).

Một nickname là “Anna-senpai” trên diễn đàn Hackforums đã công khai bộ source này.

Các tội phạm mạng đã lợi dụng mã nguồn của Mirai để lây nhiễm sang các thiết bị IoT nhằm tạo ra một cuộc tấn công DDoS vào website của phóng viên an ninh mạng Brian Krebs, đây là cuộc tấn công từ chối dịch vụ đạt kỷ lục với lưu lượng 620 Gbps từ các thiết bị IoT bị nhiễm. Kế đến là cuộc tấn công vào tập đoàn dịch vụ hosting OVH của Pháp với mức băng thông lên đến 1,5Tbps.

Sáng 21/10, một loạt trang web lớn tại Mỹ đã bị đánh sập bởi DDoS. Nhiều trang như Twitter, Netflix, Spotify, Reddit…, tất cả khách hàng của nhà cung cấp tên miền Dyn, đã bị gián đoạn kết nối, vài trường hợp bị xóa trắng. Nguyên nhân vụ việc đang được xác minh, nhưng nhiều nghi ngờ được chỉ đến Mirai botnet.

Nguyên lý hoạt động

Mirai thực hiện rà quét dải mạng IPv4 nhằm tìm kiếm các thiết bị IoT. Để tối ưu hóa hiệu năng rà quét của mình thì Mirai thực hiện loại bỏ các dải IP như sau:

Sau khi tìm được các thiết bị IoT, Mirai thực hiện truy cập telnet trực tiếp hoặc nếu không được sẽ thực hiện bruteforce mật khẩu qua telnet hoặc ssh. Trong mã nguồn của Mirai cho thấy Mirai có sử dụng 60 tài khoản, mật khẩu mặc định để thực hiện tấn công như root:root; admin:admin1234; guest:guest…

Mặc dù có thể truy cập thành công được thiết bị nhưng mã độc này lại sử dụng một lệnh đặc biệt của busybox (tiện ích trên các thiết bị Linux nhúng) do đó bot sẽ không thực hiện lây nhiễm được nếu thiết bị không được cài đặt busybox.

Môt khi sử dụng được busybox, mã độc sẽ thực hiện quá trình lây nhiễm. Đặc biệt sau khi lây nhiễm thành công, Mirai thực hiện tắt tất cả các tiến trình đang hoạt động kết nối tới cổng 22, 23 và 80 và khóa toàn bộ tài khoản đăng nhập trên thiết bị. Ngoài ra, Mirai còn có khả năng rà soát trên bộ nhớ nhằm tìm kiếm và gỡ bỏ mã độc anime và nhiều loại mã độc khác để đảm bảo thiết bị được kiểm soát hoàn toàn. Sau khi thực hiện lây nhiễm thành công, mã độc kết nối tới máy chủ điều khiển và chờ lệnh tấn công

Kỹ thuật tấn công

Với mục đích chính là thực hiện tấn công từ chối dịch vụ do đó botnet này sử dụng tới 10 kỹ thuật tấn công từ chối dịch vụ từ cơ bản đến nâng cao nhằm đem lại hiệu quả cao nhất. Trong đó, Hình thức tấn công từ chối dịch vụ phổ biến được áp dụng là thông qua tấn công HTTP, Mirai sử dụng 5 user-agent khác nhau để tránh bị phát hiện. Ngoài ra, Mirai có khả năng phát hiện và vượt qua một số cơ chế kiểm tra bot cơ bản của các dịch vụ giúp ngăn ngừa tấn công từ chối dịch vụ như cloudflare hoặc dosarrest

image0031

Mirai user-agent

Ngoài những tấn công thông dụng ra, Mirai sử dụng 2 kỹ thuật ít gặp gần đây là tấn công “DNS Water Torture” và “GRE Flood”.

image004

Mirai attack vector

Nguồn: area3dotorg