Mirai - это вредоносное ПО, которое заражает интеллектуальные устройства, работающие на процессорах ARC, превращая их в сеть удаленно управляемых ботов или "зомби". Эта сеть ботов, называемая ботнетом, часто используется для проведения DDoS-атак.
В сентябре 2016 года авторы вредоносной программы Mirai совершили DDoS-атаку на сайт известного эксперта по безопасности. Через неделю они опубликовали исходный код, возможно, пытаясь скрыть происхождение этой атаки. Этот код был быстро скопирован другими киберпреступниками, и считается, что именно он стоит за массированной атакой, которая в октябре 2016 года вывела из строя провайдера услуг регистрации доменов Dyn.
Как работает Mirai?
Mirai сканирует Интернет в поисках IoT-устройств, работающих на процессоре ARC. Этот процессор работает под управлением урезанной версии операционной системы Linux. Если имя пользователя и пароль по умолчанию не изменены, Mirai может войти в устройство и заразить его.
IoT, сокращенно от Internet of Things, - это просто модный термин для обозначения умных устройств, которые могут подключаться к Интернету. Этими устройствами могут быть радионяни, автомобили, сетевые маршрутизаторы, сельскохозяйственные устройства, медицинские приборы, устройства мониторинга окружающей среды, бытовая техника, видеорегистраторы, камеры CC, гарнитуры или детекторы дыма.
Ботнет Mirai использовал сто тысяч взломанных IoT-устройств, чтобы уничтожить компанию Dyn.
Кто был создателями ботнета Mirai?
Парас Джха и двадцатилетний Джосайя Уайт стали соучредителями компании Protraf Solutions, предлагающей услуги по смягчению последствий DDoS-атак. Их деятельность была классическим случаем рэкета: Их компания предлагала услуги по смягчению последствий DDoS-атак тем самым организациям, которые атаковала их вредоносная программа.
Почему вредоносная программа Mirai остается опасной?
[wpremark preset_name="default-warning" icon_show="1" icon_image="warning-circle-regular" icon_width="32" icon_height="32" icon_indent="16" background_show="1" border_top="0" border_right="0" border_bottom="0" border_left="0" border_width="2" shadow_show="0" shadow_x="0" shadow_y="5" shadow_blur="10" shadow_stretching="-5" shadow_opacity="0.3" title_show="0" title_bold="0" title_italic="0" title_underline="0" title_uppercase="0" title_font_size="18" title_line_height="1.5" text_bold="0" text_italic="0" text_underline="0" text_uppercase="0" padding_top="20" padding_right="20" padding_bottom="20" padding_left="20" margin_top="20" margin_right="0" margin_bottom="20" margin_left="0" border_radius="5"]Mirai мутирует.[/wpremark]
Хотя его первоначальные создатели были пойманы, их исходный код продолжает жить. Он породил такие варианты, как Okiru, Satori, Masuta и PureMasuta. PureMasuta, например, способен использовать в качестве оружия ошибку HNAP в устройствах D-Link. Штамм OMG, с другой стороны, превращает IoT-устройства в прокси-серверы, позволяющие киберпреступникам оставаться анонимными.
Также недавно обнаружен мощный ботнет под разными названиями IoTrooper и Reaper, который способен компрометировать IoT-устройства гораздо быстрее, чем Mirai. Reaper способен атаковать большее число производителей устройств и имеет гораздо больший контроль над своими ботами.
Каковы различные модели ботнетов?
Централизованные ботнеты
Если представить ботнет как театральную пьесу, то режиссером является сервер C&C (Command and Control Server, также известный как C2). Актеры в этой пьесе - различные боты, которые были заражены вредоносным ПО и стали частью бот-сети.
Когда вредоносная программа заражает устройство, бот посылает таймерные сигналы, чтобы сообщить C&C о своем существовании. Этот сеанс связи остается открытым до тех пор, пока C&C не будет готов приказать боту выполнять его команды, которые могут включать рассылку спама, взлом паролей, DDoS-атаки и т.д.
В централизованной бот-сети C&C может передавать команды непосредственно ботам. Однако C&C также является единой точкой отказа: Если его уничтожить, бот-сеть станет неэффективной.
Многоуровневые ЦУПы
Управление ботнетом может быть организовано в несколько уровней с несколькими C&C. Группы выделенных серверов могут быть предназначены для определенных целей, например, для организации ботов в подгруппы, для доставки определенного контента и так далее. Таким образом, ботнет сложнее уничтожить.
Децентрализованные бот-сети
Одноранговые (P2P) бот-сети - это следующее поколение ботнетов. Вместо того чтобы взаимодействовать с централизованным сервером, P2P-боты выступают в роли как сервера команд, так и клиента, который получает команды. Это позволяет избежать проблемы единой точки отказа, присущей централизованным бот-сетям. Поскольку бот-сети P2P работают без C&C, их сложнее отключить. Trojan.Peacomm и Stormnet - примеры вредоносных программ, стоящих за бот-сетями P2P.
Как вредоносное ПО превращает устройства IoT в ботов или зомби?
В целом, фишинг электронной почты является очевидным эффективным способом заражения компьютера - жертву обманом заставляют либо перейти по ссылке, указывающей на вредоносный веб-сайт, либо загрузить зараженное вложение. Во многих случаях вредоносный код написан таким образом, что обычное антивирусное программное обеспечение не в состоянии его обнаружить.
В случае с Mirai пользователю не нужно делать ничего особенного, кроме как оставить без изменений имя пользователя и пароль по умолчанию на только что установленном устройстве.
Какая связь между Mirai и мошенничеством с кликами?
Оплата за клик (PPC), также известная как стоимость за клик (CPC), - это форма онлайн-рекламы, при которой компания платит сайту за размещение своей рекламы. Оплата зависит от того, сколько посетителей этого сайта кликнули на объявление.
Когда данными CPC мошеннически манипулируют, это называется мошенничеством с кликами. Это может быть сделано с помощью людей, вручную нажимающих на объявление, с помощью автоматизированного программного обеспечения или ботов. В результате этого процесса сайт может получать мошенническую прибыль за счет компании, размещающей рекламу.
Первоначальные авторы Mirai были осуждены за то, что сдавали свой ботнет в аренду для DDoS-атак и мошенничества с кликами.
Почему бот-сети опасны?
Ботнеты способны повлиять практически на все аспекты жизни человека, независимо от того, пользуется ли он устройствами IoT или даже Интернетом. Ботнеты могут:
- атаковать интернет-провайдеров, иногда приводя к отказу в обслуживании законного трафика
- рассылать спам по электронной почте
- осуществлять DDoS-атаки и выводить из строя веб-сайты и API.
- совершать мошенничество с кликами
- решать слабые задачи CAPTCHA на веб-сайтах, чтобы имитировать поведение человека при входе в систему
- Кража информации о кредитных картах
- Вымогают у компаний выкуп с помощью угроз DDoS-атак.
Почему распространение ботнетов так трудно сдержать?
Существует множество причин, по которым так трудно остановить распространение ботнетов
Владельцы устройств IoT
Отсутствие затрат или перерыва в обслуживании, поэтому нет стимула для защиты интеллектуального устройства.
Зараженные системы могут быть очищены перезагрузкой, но поскольку сканирование на наличие потенциальных ботов происходит с постоянной скоростью, существует возможность повторного заражения в течение нескольких минут после перезагрузки. Это означает, что пользователи должны менять пароль по умолчанию сразу после перезагрузки. Или они должны запретить устройству доступ в Интернет до тех пор, пока не смогут сбросить прошивку и сменить пароль в автономном режиме. У большинства владельцев устройств нет ни ноу-хау, ни мотивации, чтобы сделать это.
Интернет-провайдеры
Увеличение трафика в их сети от зараженного устройства обычно не идет ни в какое сравнение с трафиком, который генерирует потоковое мультимедиа, поэтому у них нет особого стимула беспокоиться об этом.
Производители устройств
У производителей устройств мало стимулов инвестировать в безопасность недорогих устройств. Привлечение их к ответственности за атаки может стать одним из способов заставить их измениться, хотя это может не сработать в регионах со слабым правоприменением.
Игнорирование безопасности устройств сопряжено с большой опасностью: Например, Mirai способен отключать антивирусное программное обеспечение, что затрудняет его обнаружение.
Масштаб
Ежегодно на рынке появляется более полутора миллиардов устройств на базе ARC-процессоров, поэтому количество устройств, которые могут быть объединены в мощные бот-сети, означает, что возможное воздействие этих вариантов вредоносного ПО растет.
Простота
Готовые наборы для ботнетов избавляют от необходимости быть технически подкованным. За $14,99-$19,99 ботнет можно арендовать на целый месяц. Более подробную информацию см. в разделе "Что такое DDoS-ботнет/стрессер?
Глобальные стандарты безопасности IoT
Не существует глобальной организации или консенсуса для определения и обеспечения соблюдения стандартов безопасности IoT.
Хотя для некоторых устройств доступны исправления безопасности, у пользователей может не хватать навыков или стимула для обновления. Многие производители низкокачественных устройств вообще не предлагают никакого обслуживания. А те, которые предлагают, часто не имеют долгосрочного обслуживания. Кроме того, нет возможности вывести устройства из эксплуатации после прекращения обновления, что делает их незащищенными на неопределенный срок.
Глобальное правоприменение
Трудности с розыском и судебным преследованием создателей ботнетов затрудняют сдерживание распространения ботнетов; не существует глобального эквивалента Интерпола (Международной организации уголовной полиции) для киберпреступлений с соответствующими навыками расследования. Правоохранительные органы по всему миру обычно не успевают за киберпреступниками, когда речь идет о новейших технологиях.
Многие ботнеты теперь используют технику DNS под названием Fast Flux, чтобы скрыть домены, которые они используют для загрузки вредоносных программ или размещения фишинговых сайтов. Это делает их чрезвычайно сложными для отслеживания и уничтожения.
Снижает ли заражение ботнетом производительность IoT-устройств?
Может. Время от времени зараженные устройства могут работать медленнее, но в основном они работают как положено. У владельцев нет большой мотивации для поиска способов очистить их от инфекции.