Ботнет Mirai (яп. «будущее») — один из самых разрушительных IoT-ботнетов в истории, впервые обнаруженный в 2016 году. Его уникальность заключается в использовании уязвимых интернет-вещей (IoT)— камер, роутеров, DVR-устройств — для организации масштабных DDoS-атак.
Цель данной статьи — разобрать:
- Архитектуру и принципы работы ботнета.
- Основные векторы атак и примеры инцидентов.
- Методы детектирования и нейтрализации.
- Современные аналоги и тенденции развития IoT-ботнетов.
Статья предназначена для кибербезопасников, SOC-аналитиков и сетевых администраторов, поэтому фокус сделан на технические аспекты.
1. Архитектура Mirai: как устроен ботнет
Mirai использует клиент-серверную модель с элементами P2P для управления заражёнными устройствами.
1.1. Компоненты системы
| Компонент | Описание |
| Бот (заражённое устройство) | Выполняет сканирование и DDoS-атаки. |
| C&C-сервер (Command and Control) | Отправляет команды ботам через зашифрованные каналы. |
| Сканер (Loader) | Ищет новые устройства для заражения. |
| Панель управления | Веб-интерфейс для оператора ботнета. |
1.2. Жизненный цикл заражения
1. Рекон (разведка)
- Сканирование интернета на открытые порты Telnet (23) и SSH (22).
- Подбор стандартных учётных данных (admin:admin, root:12345).
2. Инфекция
- Загрузка и запуск вредоносного бинарного файла (например: /tmp/mirai).
- Удаление конкурирующих малвари (например, конкурентных ботнетов).
3. Установка персистентности
- Некоторые версии прописываются в автозагрузку (через cron или init.d).
4. Выполнение атак
- - Получение команд от C&C (например: synflood 1.1.1.1 80 60).
2. Технические особенности Mirai
2.1. Методы атак
Mirai поддерживает несколько типов DDoS:
- TCP/UDP Flood - перегрузка канала.
- HTTP GET/POST Flood - атака на веб-серверы.
- DNS Amplification - использование уязвимых DNS-серверов.
Пример payload для SYN-флуда:
| 1 | synflood target_ip=93.184.216.34 port=80 duration=120 |
2.2. Обфускация и защита от анализа
- Динамический C&C - IP-адреса серверов часто меняются.
- Шифрование трафика - XOR или AES для команд.
- Анти-отладка - завершение работы при обнаружении
gdb/strace.
3. Реальные инциденты с участием Mirai
3.1. Атака на Dyn (2016)
- Масштаб: 1.2 Тбит/с.
- Последствия: падение Twitter, Netflix, Reddit.
- Причина: уязвимые IP-камеры и роутеры.
3.2. Взлом Deutsche Telekom (2016)
- 900,000 роутеров вышли из строя из-за попытки заражения.
4. Методы детектирования и защиты
4.1. Индикаторы компрометации (IOC)
- Хэши файлов
- IP C&C-серверов
4.2. Рекомендации по защите
1. Для администраторов сетей:
- Блокировка Telnet/SSH на граничном фаерволе.
- Мониторинг аномального трафика (например: netstat -antp).
2. Для производителей IoT:
- Запрет паролей по умолчанию (требование FCC в США).
5. Эволюция Mirai и современные аналоги
С 2016 года появились десятки форков:
- Satori - эксплуатирует 0-day в роутерах.
- Mozi - P2P-ботнет для сквозного шифрования.
Тренды:
- Использование уязвимостей 1-day (например: CVE-2020-5902).
- Атаки на 5G-устройства.
Заключение
Mirai показал, что IoT — слабое звено в кибербезопасности. Без должного контроля миллионы устройств становятся частью ботнетов.
Рекомендации для специалистов:
- Внедрять NTA (Network Traffic Analysis).
- Использовать Threat Intelligence для актуальных IOC.
- Проводить пентесты IoT-устройств.
Готовы ли ваши сети к новой волне Mirai-подобных атак?
