Mirai (từ tiếng Nhật có nghĩa là "tương lai",未来) là một phần mềm độc hại biến các thiết bị nối mạng chạy Linux thành các bot được điều khiển từ xa có thể được sử dụng như một phần của botnet trong các cuộc tấn công mạng quy mô lớn. Nó chủ yếu nhắm vào các thiết bị tiêu dùng trực tuyến như camera IP và bộ định tuyến gia đình . [1] Botnet Mirai lần đầu tiên được tìm thấy vào tháng 8 năm 2016 [2] bởi MalwareMustDie , [3] một nhóm nghiên cứu phần mềm độc hại mũ trắng và đã được sử dụng trong một số cuộc tấn công từ chối dịch vụ phân tán (DDoS) lớn nhất và gây rối nhất, bao gồm một cuộc tấn công vào ngày 20 tháng 9 năm 2016 [4] vào trang web của nhà báo bảo mật máy tính Brian Krebs , một cuộc tấn công vào máy chủ web OVH của Pháp , [5] và cuộc tấn công mạng Dyn vào tháng 10 năm 2016 . [6] [7] Theo nhật ký trò chuyện giữa Anna-senpai và Robert Coelho, Mirai được đặt tên theo loạt phim hoạt hình truyền hình năm 2011 Mirai Nikki . [số 8] Ban đầu, phần mềm này được người sáng tạo sử dụng để DDoS máy chủ Minecraft và các công ty cung cấp tính năng bảo vệ DDoS cho máy chủ Minecraft , với các tác giả sử dụng Mirai để vận hành khung bảo vệ . [9] Mã nguồn của Mirai sau đó đã được xuất bản trên Diễn đàn Hack dưới dạng mã nguồn mở . [10] Kể từ khi mã nguồn được xuất bản, các kỹ thuật này đã được điều chỉnh trong các dự án phần mềm độc hại khác. [11] [12] Các thiết bị bị nhiễm Mirai liên tục quét Internet để tìm địa chỉ IP của các thiết bị Internet vạn vật (IoT). Mirai bao gồm một bảng các dải địa chỉ IP mà nó sẽ không lây nhiễm, bao gồm các mạng riêng và địa chỉ được phân bổ cho Bưu điện Hoa Kỳ và Bộ Quốc phòng . [13] Sau đó, Mirai xác định các thiết bị IoT dễ bị tấn công bằng cách sử dụng một bảng gồm hơn 60 tên người dùng và mật khẩu mặc định phổ biến của nhà máy, đồng thời đăng nhập vào chúng để lây nhiễm phần mềm độc hại Mirai. [5] [14] [15] Các thiết bị bị lây nhiễm sẽ tiếp tục hoạt động bình thường, ngoại trừ thỉnh thoảng hoạt động chậm chạp, [14] và việc sử dụng băng thông tăng lên . Một thiết bị vẫn bị nhiễm cho đến khi nó được khởi động lại , có thể chỉ cần tắt thiết bị và sau một thời gian chờ đợi, hãy bật lại thiết bị. Sau khi khởi động lại, trừ khi mật khẩu đăng nhập được thay đổi ngay lập tức, thiết bị sẽ được hoàn thiện lại trong vòng vài phút. [14]Khi bị lây nhiễm, Mirai sẽ xác định bất kỳ phần mềm độc hại nào "cạnh tranh", xóa nó khỏi bộ nhớ và chặn các cổng quản trị từ xa. [16] Các thiết bị IoT của nạn nhân được xác định bằng cách “đầu tiên bước vào giai đoạn quét nhanh trong đó nó đã gửi các đầu dò TCP SYN một cách không đồng bộ và“ không trạng thái ”đến các địa chỉ IPv4 giả ngẫu nhiên, ngoại trừ các địa chỉ nằm trong danh sách đen IP được mã hóa cứng, trên các cổng telnet TCP 23 và 2323”. [17] Nếu thiết bị IoT phản hồi với đầu dò, cuộc tấn công sau đó sẽ chuyển sang giai đoạn đăng nhập brute-force. Trong giai đoạn này, kẻ tấn công cố gắng thiết lập kết nối telnet bằng cách sử dụng cặp tên người dùng và mật khẩu được xác định trước từ danh sách thông tin đăng nhập. Hầu hết các thông tin đăng nhập này là tên người dùng và mật khẩu mặc định từ nhà cung cấp IoT. Nếu thiết bị IoT cho phép truy cập Telnet, IP của nạn nhân, cùng với thông tin đăng nhập được sử dụng thành công sẽ được gửi đến máy chủ thu thập. Có hàng trăm nghìn thiết bị IoT sử dụng cài đặt mặc định, khiến chúng dễ bị lây nhiễm. Sau khi bị nhiễm, thiết bị sẽ giám sát một máy chủ chỉ huy và điều khiển chỉ ra mục tiêu của một cuộc tấn công. [14] Lý do cho việc sử dụng số lượng lớn các thiết bị IoT là để bỏ qua một số phần mềm chống DoS theo dõi địa chỉ IP của các yêu cầu đến và bộ lọc hoặc thiết lập một khối nếu nó xác định một dạng lưu lượng bất thường, chẳng hạn như nếu quá nhiều yêu cầu đến từ một địa chỉ IP cụ thể. Các lý do khác bao gồm có thể điều chỉnh nhiều băng thông hơn so với thủ phạm có thể tập hợp một mình và để tránh bị truy tìm. Mirai như một mối đe dọa từ thiết bị Internet vạn vật (IoT) vẫn chưa bị dừng lại sau vụ bắt giữ các diễn viên [ cần dẫn nguồn ] . Một số người tin rằng các tác nhân khác đang sử dụng mã nguồn phần mềm độc hại Mirai trên GitHub để phát triển Mirai thành các biến thể mới . Họ suy đoán rằng mục tiêu là mở rộng nút mạng botnet của mình cho nhiều thiết bị IoT hơn. Chi tiết về tiến trình gần đây của các biến thể này được liệt kê trong các đoạn sau. Vào ngày 12 tháng 12 năm 2017, các nhà nghiên cứu đã xác định một biến thể của Mirai khai thác lỗ hổng zero-day trong bộ định tuyến Huawei HG532 để tăng tốc lây nhiễm botnet Mirai , [18] triển khai hai cách khai thác liên quan đến SOAP đã biết trên bộ định tuyến giao diện web, CVE-2014–8361 và CVE-2017 –17215. Phiên bản Mirai này được gọi là "Satori". Vào ngày 14 tháng 1 năm 2018, một biến thể mới của Mirai có tên là “Okiru” đã nhắm mục tiêu đến bộ xử lý nhúng phổ biến như ARM, MIPS, x86, PowerPC [19] và các biến thể khác lần đầu tiên nhắm mục tiêu đến các thiết bị Linux dựa trên bộ xử lý ARC [20] . Bộ xử lý Argonaut RISC Core (viết tắt: bộ xử lý ARC ) là bộ xử lý 32 bit nhúng phổ biến thứ hai, được vận chuyển trong hơn 1,5 tỷ sản phẩm mỗi năm, bao gồm máy tính để bàn, máy chủ, radio, máy ảnh, điện thoại di động, đồng hồ đo tiện ích, TV, đèn flash ổ đĩa, ô tô, thiết bị mạng (trung tâm thông minh, modem TV, bộ định tuyến, wifi) và Internet of Things. Chỉ một số tương đối nhỏ các thiết bị dựa trên ARC chạy Linux và do đó được tiếp xúc với Mirai. Vào ngày 18 tháng 1 năm 2018, một người kế nhiệm của Mirai được cho là được thiết kế để tấn công các hoạt động khai thác tiền điện tử . [21] Vào ngày 26 tháng 1 năm 2018, hai mạng botnet biến thể Mirai tương tự đã được báo cáo, phiên bản sửa đổi nhiều hơn trong đó vũ khí hóa việc khai thác của bộ định tuyến EDB 38722 D-Link để tranh thủ các thiết bị IoT dễ bị tấn công hơn. Lỗ hổng trong Giao thức quản trị mạng gia đình (HNAP) của bộ định tuyến được sử dụng để tạo ra một truy vấn độc hại tới các bộ định tuyến bị khai thác có thể bỏ qua xác thực, sau đó gây ra việc thực thi mã từ xa tùy ý. Phiên bản ít sửa đổi hơn của Mirai được gọi là "Masuta" (sau phiên âm tiếng Nhật của "Master"), trong khi phiên bản sửa đổi nhiều hơn được gọi là "PureMasuta". [22] Vào tháng 3 năm 2018, một biến thể mới của Mirai, được gọi là "OMG", đã xuất hiện với các cấu hình bổ sung để nhắm mục tiêu các thiết bị IoT dễ bị tấn công và biến chúng thành máy chủ proxy. Các quy tắc tường lửa mới cho phép lưu lượng truy cập qua các cổng HTTP và SOCKS được tạo đã được thêm các cấu hình vào mã Mirai. Khi các cổng này được mở cho lưu lượng truy cập, OMG thiết lập 3proxy - phần mềm mã nguồn mở có sẵn trên một trang web của Nga . [23] Từ tháng 5 đến tháng 6 năm 2018, một biến thể khác của Mirai, được mệnh danh là "Wicked", đã xuất hiện với các cấu hình bổ sung để nhắm mục tiêu ít nhất ba vụ khai thác bổ sung, bao gồm cả những vụ ảnh hưởng đến bộ định tuyến Netgear và CCTV-DVR. Wicked quét các cổng 8080, 8443, 80 và 81 và cố gắng xác định vị trí các thiết bị IoT dễ bị tấn công, chưa được vá lỗi đang chạy trên các cổng đó. Các nhà nghiên cứu nghi ngờ cùng một tác giả đã tạo ra các botnet Wicked, Sora, Owari và Omni. [24] [25] Vào đầu tháng 7 năm 2018, có báo cáo rằng ít nhất 13 phiên bản của phần mềm độc hại Mirai đã được phát hiện chủ động lây nhiễm vào mạng Internet vạn vật (IoT) của Linux và ba trong số chúng được thiết kế để nhắm mục tiêu vào các lỗ hổng cụ thể bằng cách sử dụng bằng chứng khai thác mà không khởi chạy vũ phu - buộc tấn công vào xác thực thông tin xác thực mặc định. [26] Trong cùng tháng, nó đã được công bố một báo cáo về chiến dịch lây nhiễm phần mềm độc hại Mirai vào các thiết bị Android thông qua Android Debug Bridge trên TCP / 5555, đây thực sự là một tính năng tùy chọn trong hệ điều hành Android, nhưng người ta đã phát hiện ra rằng tính năng này xuất hiện. được bật trên một số điện thoại Android. [27] Vào cuối năm 2018, một biến thể Mirai có tên "Miori" bắt đầu bị phát tán thông qua một lỗ hổng thực thi mã từ xa trong khuôn khổ ThinkPHP, ảnh hưởng đến các phiên bản 5.0.23 đến 5.1.31. Lỗ hổng này liên tục bị lạm dụng bởi các biến thể Mirai tiến hóa hơn được gọi là "Hakai" và "Yowai" vào tháng 1 năm 2019 và biến thể "SpeakUp" vào tháng 2 năm 2019. [28] |
