Chiến lược được những kẻ tấn công độc hại sử dụng để tăng quy mô các cuộc tấn công mạng là sử dụng botnet.
Botnet là một mạng lưới các máy tính đã bị nhiễm phần mềm độc hại và được điều khiển từ xa bởi một tác nhân độc hại. Kẻ độc hại như vậy điều khiển một nhóm máy tính bị nhiễm virus được gọi là bot Shepherd. Các thiết bị bị nhiễm riêng lẻ được gọi là bot.
Những kẻ chăn bot ra lệnh và kiểm soát một nhóm máy tính bị nhiễm bệnh, cho phép chúng thực hiện các cuộc tấn công mạng trên quy mô lớn hơn nhiều. Botnet đã được sử dụng rộng rãi trong các cuộc tấn công từ chối dịch vụ quy mô lớn, lừa đảo, tấn công thư rác và đánh cắp dữ liệu.
Một ví dụ về phần mềm độc hại đã nổi tiếng với việc chiếm quyền điều khiển các thiết bị kỹ thuật số để tạo ra các mạng botnet rất lớn là phần mềm độc hại Mirai Botnet. Mirai là phần mềm độc hại botnet nhắm mục tiêu và khai thác các lỗ hổng trong các thiết bị Internet of Things (IoT) dựa trên Linux.
Sau khi bị lây nhiễm, Mirai sẽ nắm quyền kiểm soát một thiết bị IoT, biến nó thành một bot điều khiển từ xa có thể được sử dụng như một phần của mạng botnet để thực hiện các cuộc tấn công mạng quy mô lớn. Mirai được viết bằng C và GO.
Phần mềm độc hại nổi lên vào năm 2016 khi nó được sử dụng trong cuộc tấn công từ chối dịch vụ (DDOS) phân tán nhằm vào DYN, một nhà cung cấp hệ thống tên miền. Cuộc tấn công đã ngăn cản người dùng Internet truy cập các trang web như Airbnb, Amazon, TwitterReddit, Paypal và Visa.
Phần mềm độc hại Mirai cũng là nguyên nhân gây ra các cuộc tấn công DDOS nhằm vào trang web an ninh mạng Krebs on Security và công ty điện toán đám mây OVHCloud của Pháp.
Mirai được tạo ra như thế nào
Phần mềm độc hại Mirai được viết bởi Paras Jha và Josiah White, cả hai đều là sinh viên đại học ở độ tuổi 20 và là người sáng lập ProTraf Solutions, một công ty giảm thiểu DDOS. Phần mềm độc hại Mirai được viết bằng ngôn ngữ lập trình C và Go.
Ban đầu, mục tiêu của họ đối với Mirai là phá hủy các máy chủ Minecraft cạnh tranh bằng các cuộc tấn công DDOS để họ có thể có được nhiều khách hàng hơn bằng cách loại bỏ đối thủ.
Việc sử dụng Mirai của họ sau đó trở thành tống tiền và lừa đảo. Bộ đôi này đã thực hiện các cuộc tấn công DDOS vào các công ty và sau đó liên hệ với các công ty bị tấn công để đưa ra các biện pháp đối phó DDOS.
Mirai Botnet đã thu hút sự chú ý của chính quyền và cộng đồng an ninh mạng sau khi nó được sử dụng để đánh sập trang web Krebs on Security và cuộc tấn công của nó vào OVH. Khi Mirai Botnet bắt đầu gây chú ý, những người sáng tạo đã rò rỉ mã nguồn Mirai Botnet trên một diễn đàn hack công khai.
Đây có lẽ là một nỗ lực nhằm che đậy dấu vết và trốn tránh trách nhiệm về các cuộc tấn công DDOS được thực hiện bằng cách sử dụng mạng botnet Mirai. Mã nguồn của botnet Mirai đã bị tội phạm mạng khác khai thác, dẫn đến việc tạo ra các biến thể botnet Mirai như Okiru, Masuta và Satori, và PureMasuta.
Tuy nhiên, những người tạo ra botnet Mirai sau đó đã bị FBI bắt giữ. Tuy nhiên, họ không vào tù mà thay vào đó nhận mức án nhẹ hơn vì hợp tác với FBI trong việc truy bắt tội phạm mạng khác và ngăn chặn các cuộc tấn công mạng.
Cách thức hoạt động của mạng botnet Mirai
Cuộc tấn công Mirai Botnet bao gồm các bước sau:
Điều đáng chú ý là botnet Mirai đi kèm với dải địa chỉ IP mà nó không tấn công hoặc lây nhiễm. Điều này bao gồm các mạng riêng và địa chỉ IP được chỉ định cho Bộ Quốc phòng Hoa Kỳ và Bưu điện Hoa Kỳ.
Các loại thiết bị mà Mirai Botnet nhắm đến
Mục tiêu chính của Mirai Botnet là các thiết bị IoT sử dụng bộ xử lý ARC. Theo Paras Jha, một trong những tác giả của bot Mirai, hầu hết các thiết bị IoT bị botnet Mirai lây nhiễm và sử dụng đều là bộ định tuyến.
Tuy nhiên, danh sách nạn nhân tiềm năng của botnet Mirai bao gồm các thiết bị IoT khác sử dụng bộ xử lý ARC.
Điều này có thể bao gồm các thiết bị thông minh trong nhà như camera an ninh, thiết bị theo dõi trẻ em, máy điều nhiệt và TV thông minh, thiết bị đeo được như máy theo dõi và đồng hồ thể dục cũng như các thiết bị IoT y tế như máy đo đường huyết và máy bơm insulin. Các thiết bị IoT công nghiệp và thiết bị IoT y tế sử dụng bộ xử lý ARC cũng có thể trở thành nạn nhân của botnet Mirai.
Cách phát hiện nhiễm botnet Mirai
Mirai Botnet được thiết kế để thực hiện các cuộc tấn công lén lút nên việc phát hiện một thiết bị IoT bị nhiễm Mirai Botnet không phải là một việc dễ dàng. Tuy nhiên, chúng không dễ để phát hiện. Tuy nhiên, hãy tìm các dấu hiệu sau có thể báo hiệu khả năng lây nhiễm Mirai Botnet trên thiết bị IoT của bạn:
- Kết nối internet chậm – Botnet Mirai có thể làm chậm internet vì các thiết bị IoT được sử dụng để thực hiện các cuộc tấn công DDoS.
- Lưu lượng mạng bất thường – Nếu thường xuyên theo dõi hoạt động mạng của mình, bạn có thể nhận thấy lưu lượng mạng tăng đột ngột hoặc gửi yêu cầu đến các địa chỉ IP không xác định
- Hiệu suất thiết bị giảm – Thiết bị IoT của bạn không hoạt động tối ưu hoặc có hành vi bất thường như tắt hoặc tự khởi động lại, có thể cho thấy có thể bị nhiễm Mirai.
- Thay đổi cấu hình thiết bị – Mirai Botnet có thể thực hiện các thay đổi đối với cài đặt hoặc cấu hình mặc định của thiết bị IoT để giúp thiết bị dễ sử dụng và kiểm soát hơn trong tương lai. Nếu bạn nhận thấy những thay đổi trong cấu hình của thiết bị IoT mà bạn không chịu trách nhiệm, điều này có thể cho thấy khả năng bị nhiễm Mirai Botnet.
Mặc dù có những dấu hiệu bạn có thể để ý để biết liệu thiết bị của mình có bị nhiễm virus hay không, nhưng đôi khi bạn có thể không nhận thấy chúng đơn giản vì Mirai Botnet được thiết kế theo cách rất khó phát hiện. Do đó, cách tốt nhất để giải quyết vấn đề này là ngăn chặn Mirai Botnet lây nhiễm sang các thiết bị IoT.
Tuy nhiên, nếu bạn nghi ngờ một thiết bị IoT đã được phát hiện, hãy ngắt kết nối thiết bị đó khỏi mạng và chỉ kết nối lại sau khi mối đe dọa đã được loại bỏ.
Cách bảo vệ thiết bị của bạn khỏi bị nhiễm Mirai Botnet
Chiến lược chính của Mirai Botnet trong việc lây nhiễm các thiết bị IoT là kiểm tra một số cấu hình mặc định phổ biến để xem liệu người dùng có còn sử dụng cấu hình mặc định hay không.
Trong trường hợp này, Mirai đăng nhập và lây nhiễm vào thiết bị. Do đó, một bước quan trọng trong việc bảo vệ các thiết bị IoT khỏi Mirai Botnet là tránh sử dụng tên người dùng và mật khẩu mặc định.
Hãy nhớ thay đổi thông tin đăng nhập của bạn và sử dụng mật khẩu khó đoán. Bạn thậm chí có thể sử dụng trình tạo mật khẩu ngẫu nhiên để nhận mật khẩu duy nhất không thể đoán được.
Một bước khác bạn có thể thực hiện là thường xuyên cập nhật chương trình cơ sở của thiết bị cũng như cài đặt các bản vá bảo mật ngay khi chúng được phát hành. Các công ty thường phát hành các bản vá bảo mật khi phát hiện ra lỗ hổng trong thiết bị của họ.
Do đó, việc cài đặt các bản vá bảo mật ngay khi chúng được phát hành có thể giúp bạn vượt lên trước những kẻ tấn công. Nếu thiết bị IoT của bạn có quyền truy cập từ xa, hãy cân nhắc việc tắt nó nếu bạn không cần tính năng này.
Các biện pháp khác bạn có thể thực hiện bao gồm giám sát thường xuyên hoạt động mạng và phân đoạn mạng gia đình của mình để các thiết bị IoT không được kết nối với các mạng gia đình quan trọng.
Ứng dụng
Mặc dù những người tạo ra Mirai Botnet đã bị chính quyền giam giữ nhưng nguy cơ lây nhiễm Mirai Botnet vẫn còn. Mã nguồn Mirai Botnet đã được phát hành ra công chúng, dẫn đến các biến thể Mirai Botnet chết người nhắm vào các thiết bị IoT và có nhiều quyền kiểm soát hơn đối với các thiết bị.
Do đó, khi mua thiết bị IoT, cần tính đến khả năng bảo mật do nhà sản xuất thiết bị cung cấp. Mua thiết bị IoT có tính năng bảo mật ngăn ngừa khả năng lây nhiễm phần mềm độc hại.
Ngoài ra, hãy tránh sử dụng cấu hình mặc định trên thiết bị của bạn và thường xuyên cập nhật chương trình cơ sở của thiết bị cũng như cài đặt tất cả các bản vá bảo mật mới nhất ngay khi chúng được phát hành.
Bạn cũng có thể xem các công cụ EDR tốt nhất để nhanh chóng phát hiện và ứng phó với các cuộc tấn công mạng.
