WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Các biến thể của Mirai tiếp tục sinh sản trong hệ sinh thái IoT
Mirai là botnet IoT nguyên mẫu, xuất hiện lần đầu trong cuộc tấn công DDoS 665 Gbps vào trang KrebsOnSecurity tháng 9 năm 2016. Cuộc tấn công thứ hai của Mirai, chỉ vài ngày sau đó, nhắm vào công ty lưu trữ OVH của Pháp, với lưu lượng gần 1 Tbps, là cuộc tấn công DDoS lớn nhất từ trước tới nay.
Cuối tháng 9/2016, mã nguồn của Mirai được công khai trên mạng, khiến bất cứ ai cũng có thể sử dụng để tạo botnet riêng cho mình.
Cho đến nay, đã có rất nhiều biến thể của Mirai xuất hiện. Trong số đó, Satori, JenX, OMG và Wicked là những biến thể nổi bật. Và Netscout Arbor đã phân tích cách mỗi botnet này hoạt động.
Bản thân Mirai lây lan bằng cách quét tìm các thiết bị IoT có kết nối internet (camera IP và router gia đình) và truy cập 'brute-force' thông qua danh sách mật khẩu mặc định của nhà cung cấp. Vì rất ít người dùng thay đổi mật khẩu đi kèm thiết bị, quá trình này tương đối thành công.
Satori (hoặc ít nhất là biến thể thứ 3 của Satori) sử dụng cùng một bảng cấu hình và kỹ thuật xâu chuỗi giống như Mirai. Tuy nhiên, theo đội ASERT của Netscout Arbor, tác giả đã mở rộng mã nguồn Mirai để bao gồm các mã khai thác khác nhau như mã khai thác Huawei Home Gateway (CVE-2017-17215). Vào tháng 12/2017, Check Point báo cáo có hàng trăm nghìn lượt tấn công khai thác lỗ hổng này trên các bộ định tuyến gia đình Huawei HG532 để tải xuống và thực thi botnet Satori.
Mã cơ bản của JenX cũng xuất phát từ Mirai, một lần nữa bao gồm cùng một bảng cấu hình và kỹ thuật xâu chuỗi. Tuy nhiên, JenX mã hóa cứng địa chỉ IP C2 trong khi Mirai lưu trữ nó trong bảng cấu hình. JenX cũng loại bỏ chức năng quét và khai thác của Mirai, vì điều này được xử lý bởi một hệ thống riêng biệt.
Theo ASERT, hiện tại JenX chỉ tập trung vào các cuộc tấn công DDoS nhắm tới người chơi của trò chơi video Grand Theft Auto San Andreas.
OMG được mô tả là một trong những biến thể thú vị nhất của Mirai. Trong khi bao gồm tất cả các chức năng của Mirai, tác giả đã mở rộng mã Mirai để bao gồm một máy chủ proxy. Điều này cho phép nó kích hoạt một máy chủ proxy SOCKS và HTTP trên thiết bị IoT bị nhiễm. Với hai tính năng này, tác giả của OMG có thể proxy bất kỳ lưu lượng nào mà mình lựa chọn thông qua thiết bị IoT bị lây nhiễm, bao gồm quét bổ sung các lỗ hổng mới, khởi chạy các cuộc tấn công bổ sung hoặc từ thiết bị IoT bị nhiễm tiếp cận các mạng khác được kết nối với thiết bị.
Fortinet đã thảo luận về OMG vào tháng 2/2018 rằng đây là lần đầu tiên thấy Mirai có khả năng sửa đổi các cuộc tấn công DDOS cũng như thiết lập máy chủ proxy trên thiết bị IoT tổn tại lỗ hổng. Với diễn biến này, Fortinet tin rằng ngày càng có nhiều chương trình dựa trên Mirai với các cách kiếm tiền mới.
Wicked là phiên bản Mirai mới nhất. Tương tự như Satori phiên bản 3, Wicked dựa vào chức năng quét thông tin xác thực của Mirai cho máy quét RCE của riêng mình. Máy quét RCE của Wicked nhắm vào các thiết bị định tuyến Netgear và CCTV-DVR. Khi tìm thấy các thiết bị tồn tại lỗ hổng, một bản sao của bot Owari được tải xuống và thực thi.
Tuy nhiên, một phân tích về cùng một bot của Fortinet vào tháng 5/2018 đưa ra một kết luận hơi khác. Chuỗi 'SoraLOADER' có mục đích phân phối botnet Sora. Phân tích sâu hơn cho thấy trong thực tế nó cố gắng tải xuống botnet Owari, nhưng thực sự đã tải xuống botnet Omni. Fortinet xác nhận rằng tác giả của botnet Wicked, Sora, Owari và Omni là một. Điều này cũng dẫn chúng ta đến kết luận rằng trong khi bot WICKED ban đầu là để phát tán botnet Sora, sau đó nó được thiết lập lại để phục vụ cho các dự án tiếp sau đó tác giả.
Tác giả của Mirai có thể đã bị bắt giữ, nhưng với việc công khai mã nguồn của Mirai, các biến thể Mirai và Mirai tiếp tục phát triển. Hệ sinh thái IoT mà Mirai và các biến thể của nó nhắm mục tiêu và khai thác vẫn còn trong giai đoạn trứng nước. Có gần 17 tỷ thiết bị kết nối vào năm 2017, nhưng con số này dự kiến sẽ tăng lên khoảng 125 tỷ vào năm 2030 theo một phân tích mới từ IHS Markit. Các nhà cung cấp tiếp tục tạo ra sản phẩm mới nhằm có được thị phần sớm, nhưng lại bỏ qua vấn đề an ninh.
"Các tác giả phần mềm độc hại sẽ tiếp tục sử dụng mã độc dựa trên IoT trong xu hướng tự động, nhanh chóng tăng kích thước botnet thông qua cách thức lây lan giống worm, chức năng proxy mạng và tự động khai thác các lỗ hổng trên thiết bị kết nối Internet. Các tổ chức cần phải tiến hành cài đặt các bản vá phù hợp, cập nhật hệ thống, áp dụng các chiến lược giảm thiểu DDoS để bảo vệ các tổ chức của mình", ASERT cảnh báo.
Cuối tháng 9/2016, mã nguồn của Mirai được công khai trên mạng, khiến bất cứ ai cũng có thể sử dụng để tạo botnet riêng cho mình.
Cho đến nay, đã có rất nhiều biến thể của Mirai xuất hiện. Trong số đó, Satori, JenX, OMG và Wicked là những biến thể nổi bật. Và Netscout Arbor đã phân tích cách mỗi botnet này hoạt động.
Bản thân Mirai lây lan bằng cách quét tìm các thiết bị IoT có kết nối internet (camera IP và router gia đình) và truy cập 'brute-force' thông qua danh sách mật khẩu mặc định của nhà cung cấp. Vì rất ít người dùng thay đổi mật khẩu đi kèm thiết bị, quá trình này tương đối thành công.
Satori (hoặc ít nhất là biến thể thứ 3 của Satori) sử dụng cùng một bảng cấu hình và kỹ thuật xâu chuỗi giống như Mirai. Tuy nhiên, theo đội ASERT của Netscout Arbor, tác giả đã mở rộng mã nguồn Mirai để bao gồm các mã khai thác khác nhau như mã khai thác Huawei Home Gateway (CVE-2017-17215). Vào tháng 12/2017, Check Point báo cáo có hàng trăm nghìn lượt tấn công khai thác lỗ hổng này trên các bộ định tuyến gia đình Huawei HG532 để tải xuống và thực thi botnet Satori.
Mã cơ bản của JenX cũng xuất phát từ Mirai, một lần nữa bao gồm cùng một bảng cấu hình và kỹ thuật xâu chuỗi. Tuy nhiên, JenX mã hóa cứng địa chỉ IP C2 trong khi Mirai lưu trữ nó trong bảng cấu hình. JenX cũng loại bỏ chức năng quét và khai thác của Mirai, vì điều này được xử lý bởi một hệ thống riêng biệt.
Theo ASERT, hiện tại JenX chỉ tập trung vào các cuộc tấn công DDoS nhắm tới người chơi của trò chơi video Grand Theft Auto San Andreas.
OMG được mô tả là một trong những biến thể thú vị nhất của Mirai. Trong khi bao gồm tất cả các chức năng của Mirai, tác giả đã mở rộng mã Mirai để bao gồm một máy chủ proxy. Điều này cho phép nó kích hoạt một máy chủ proxy SOCKS và HTTP trên thiết bị IoT bị nhiễm. Với hai tính năng này, tác giả của OMG có thể proxy bất kỳ lưu lượng nào mà mình lựa chọn thông qua thiết bị IoT bị lây nhiễm, bao gồm quét bổ sung các lỗ hổng mới, khởi chạy các cuộc tấn công bổ sung hoặc từ thiết bị IoT bị nhiễm tiếp cận các mạng khác được kết nối với thiết bị.
Fortinet đã thảo luận về OMG vào tháng 2/2018 rằng đây là lần đầu tiên thấy Mirai có khả năng sửa đổi các cuộc tấn công DDOS cũng như thiết lập máy chủ proxy trên thiết bị IoT tổn tại lỗ hổng. Với diễn biến này, Fortinet tin rằng ngày càng có nhiều chương trình dựa trên Mirai với các cách kiếm tiền mới.
Wicked là phiên bản Mirai mới nhất. Tương tự như Satori phiên bản 3, Wicked dựa vào chức năng quét thông tin xác thực của Mirai cho máy quét RCE của riêng mình. Máy quét RCE của Wicked nhắm vào các thiết bị định tuyến Netgear và CCTV-DVR. Khi tìm thấy các thiết bị tồn tại lỗ hổng, một bản sao của bot Owari được tải xuống và thực thi.
Tuy nhiên, một phân tích về cùng một bot của Fortinet vào tháng 5/2018 đưa ra một kết luận hơi khác. Chuỗi 'SoraLOADER' có mục đích phân phối botnet Sora. Phân tích sâu hơn cho thấy trong thực tế nó cố gắng tải xuống botnet Owari, nhưng thực sự đã tải xuống botnet Omni. Fortinet xác nhận rằng tác giả của botnet Wicked, Sora, Owari và Omni là một. Điều này cũng dẫn chúng ta đến kết luận rằng trong khi bot WICKED ban đầu là để phát tán botnet Sora, sau đó nó được thiết lập lại để phục vụ cho các dự án tiếp sau đó tác giả.
Tác giả của Mirai có thể đã bị bắt giữ, nhưng với việc công khai mã nguồn của Mirai, các biến thể Mirai và Mirai tiếp tục phát triển. Hệ sinh thái IoT mà Mirai và các biến thể của nó nhắm mục tiêu và khai thác vẫn còn trong giai đoạn trứng nước. Có gần 17 tỷ thiết bị kết nối vào năm 2017, nhưng con số này dự kiến sẽ tăng lên khoảng 125 tỷ vào năm 2030 theo một phân tích mới từ IHS Markit. Các nhà cung cấp tiếp tục tạo ra sản phẩm mới nhằm có được thị phần sớm, nhưng lại bỏ qua vấn đề an ninh.
"Các tác giả phần mềm độc hại sẽ tiếp tục sử dụng mã độc dựa trên IoT trong xu hướng tự động, nhanh chóng tăng kích thước botnet thông qua cách thức lây lan giống worm, chức năng proxy mạng và tự động khai thác các lỗ hổng trên thiết bị kết nối Internet. Các tổ chức cần phải tiến hành cài đặt các bản vá phù hợp, cập nhật hệ thống, áp dụng các chiến lược giảm thiểu DDoS để bảo vệ các tổ chức của mình", ASERT cảnh báo.
Theo The Hacker News