Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Botnet Mirai được sử dụng trong cuộc tấn công DDoS kéo dài 54 tiếng
Biến thể mới của botnet IoT “đình đám” Mirai vừa được sử dụng trong cuộc tấn công kéo dài 54 giờ nhắm tới trường Đại học tại Mỹ.
Mirai là một trong số những botnet IoT được biết đến nhiều nhất trong nửa cuối năm 2016. Botnet được sử dụng trong hai cuộc tấn công lớn vào trang blog của Brian Krebs và nhà cung cấp DNS Dyn. Vào tháng 10, mã nguồn của trojan được công bố trên mạng và các biến thể mới xuất hiện ngay sau đó.
Một phiên bản mã độc xuất hiện vào tháng 12 khi các router hộ gia đình của TalkTalk Telecom bị lây nhiễm qua một lỗ hổng trong giao thức mạng định tuyến. Đầu năm nay, các chuyên gia cũng phát hiện biến thể của Mirai trên Windonws, mặc dù mã độc chủ yếu được xây dựng để phát tán trojan Linux sang các thiết bị IoT khác.
Các chuyên gia cho biết, phiên bản mới botnet phát triển sau khi mã nguồn được công khai. Cụ thể, trong khi các phiên bản trước của mã độc tiến hành các cuộc tấn công DDoS tầng mạng, thì biến thể mới tập trung vào các tầng ứng dụng.
Ngày 28/2, biến thể mới của Mirai đã được sử dụng để tấn công DDoS nhắm vào một trường Đại học tại Mỹ. Các chuyên gia cho biết cuộc tấn công diễn ra liên tục trong 54 giờ. Lưu lượng truy cập trung bình đạt trên 30.000 truy vấn/giây (RPS) và đạt mức đỉnh điểm khoảng 37.000 RPS - mức cao nhất của botnet Mirai từ trước tới nay. Cuộc tấn công đã tạo ra tổng cộng hơn 2,8 tỷ truy vấn.
"Dựa theo một số yếu tố như thứ tự header, giá trị header và nguồn lưu lượng truy cập, hệ thống của chúng tôi xác định cuộc tấn công khởi tạo từ một botnet Mirai", chuyên gia Dima Bekerman cho biết.
Các bot trong cuộc tấn công này đã từng được Mirai sử dụng, gồm: các camera CCTV, DVR và router. Những thiết bị này có thể từng bị ảnh hưởng bởi các lỗ hổng mà botnet đã khai thác thông qua các cổng telnet mở (23) và cổng TR-069 (7547).
Theo Bekerman, các bot DDoS được sử dụng trong cuộc tấn công ẩn sau các đối tượng người dùng khác nhau, so với chỉ 5 đối tượng được hardcode trong phiên bản Mirai mặc định. Điều này cho thấy phiên bản Mirai mới có thể đã được điều chỉnh để tiến hành các cuộc tấn công lớp ứng dụng phức tạp hơn.
30 biến thể đối tượng sử dụng đã được phát hiện trong cuộc tấn công. Bên cạnh đó, các chuyên gia phát hiện lưu lượng tấn công bắt nguồn từ 9.793 địa chỉ IP trên toàn thế giới. Hơn 70% trong số này nằm ở 10 nước: Mỹ (18,4%), Israel (11,3%), Đài Loan (10,8%), Ấn Độ (8,7%), (6%), Nga (3,8%), Ý (3,2%), Mexico (3,2%), Colombia (30%) và Bulgaria (2,2%).
"Chưa đầy 1 ngày sau khi cuộc tấn công kết thúc, một cuộc tấn công khác diễn ra trong khoảng 1,5 giờ với lưu lượng truy cập trung bình là 15.000 RPS. Theo kinh nghiệm của chúng tôi, sẽ có thêm nhiều vụ nữa trước khi giải pháp bảo vệ ngăn chặn thành công nỗ lực của hacker ", Bekerman cho biết.
Mirai là một trong số những botnet IoT được biết đến nhiều nhất trong nửa cuối năm 2016. Botnet được sử dụng trong hai cuộc tấn công lớn vào trang blog của Brian Krebs và nhà cung cấp DNS Dyn. Vào tháng 10, mã nguồn của trojan được công bố trên mạng và các biến thể mới xuất hiện ngay sau đó.
Một phiên bản mã độc xuất hiện vào tháng 12 khi các router hộ gia đình của TalkTalk Telecom bị lây nhiễm qua một lỗ hổng trong giao thức mạng định tuyến. Đầu năm nay, các chuyên gia cũng phát hiện biến thể của Mirai trên Windonws, mặc dù mã độc chủ yếu được xây dựng để phát tán trojan Linux sang các thiết bị IoT khác.
Các chuyên gia cho biết, phiên bản mới botnet phát triển sau khi mã nguồn được công khai. Cụ thể, trong khi các phiên bản trước của mã độc tiến hành các cuộc tấn công DDoS tầng mạng, thì biến thể mới tập trung vào các tầng ứng dụng.
Ngày 28/2, biến thể mới của Mirai đã được sử dụng để tấn công DDoS nhắm vào một trường Đại học tại Mỹ. Các chuyên gia cho biết cuộc tấn công diễn ra liên tục trong 54 giờ. Lưu lượng truy cập trung bình đạt trên 30.000 truy vấn/giây (RPS) và đạt mức đỉnh điểm khoảng 37.000 RPS - mức cao nhất của botnet Mirai từ trước tới nay. Cuộc tấn công đã tạo ra tổng cộng hơn 2,8 tỷ truy vấn.
"Dựa theo một số yếu tố như thứ tự header, giá trị header và nguồn lưu lượng truy cập, hệ thống của chúng tôi xác định cuộc tấn công khởi tạo từ một botnet Mirai", chuyên gia Dima Bekerman cho biết.
Các bot trong cuộc tấn công này đã từng được Mirai sử dụng, gồm: các camera CCTV, DVR và router. Những thiết bị này có thể từng bị ảnh hưởng bởi các lỗ hổng mà botnet đã khai thác thông qua các cổng telnet mở (23) và cổng TR-069 (7547).
Theo Bekerman, các bot DDoS được sử dụng trong cuộc tấn công ẩn sau các đối tượng người dùng khác nhau, so với chỉ 5 đối tượng được hardcode trong phiên bản Mirai mặc định. Điều này cho thấy phiên bản Mirai mới có thể đã được điều chỉnh để tiến hành các cuộc tấn công lớp ứng dụng phức tạp hơn.
30 biến thể đối tượng sử dụng đã được phát hiện trong cuộc tấn công. Bên cạnh đó, các chuyên gia phát hiện lưu lượng tấn công bắt nguồn từ 9.793 địa chỉ IP trên toàn thế giới. Hơn 70% trong số này nằm ở 10 nước: Mỹ (18,4%), Israel (11,3%), Đài Loan (10,8%), Ấn Độ (8,7%), (6%), Nga (3,8%), Ý (3,2%), Mexico (3,2%), Colombia (30%) và Bulgaria (2,2%).
"Chưa đầy 1 ngày sau khi cuộc tấn công kết thúc, một cuộc tấn công khác diễn ra trong khoảng 1,5 giờ với lưu lượng truy cập trung bình là 15.000 RPS. Theo kinh nghiệm của chúng tôi, sẽ có thêm nhiều vụ nữa trước khi giải pháp bảo vệ ngăn chặn thành công nỗ lực của hacker ", Bekerman cho biết.
Nguồn: SecurityWeek