شفرة مصدر ميراي. شبكات البوت نت: كيف تعمل وكيف تكسب المال

تسببت هجمات Mirai botnet على مزود DNS الأمريكي Dyn في عام 2016 في صدى واسع وجذب اهتمامًا متزايدًا إلى شبكات الروبوت. ومع ذلك ، مقارنة بكيفية استخدام مجرمي الإنترنت المعاصرين لشبكات الروبوت اليوم ، قد تبدو الهجمات على Dyn مزحًا صبيانيًا. سرعان ما تعلم المجرمون استخدام الروبوتات لإطلاق برامج ضارة معقدة يمكنها إنشاء بنى تحتية كاملة من أجهزة الكمبيوتر المصابة وغيرها من الأجهزة التي تدعم الإنترنت لتوليد أرباح غير مشروعة على نطاق واسع.

في السنوات الاخيرة تطبيق القانونلقد أحرزت بعض التقدم في مكافحة الأنشطة الإجرامية المتعلقة بالبوت نت ، ولكن حتى الآن لا تكفي هذه الجهود بالتأكيد لخرق شبكات الروبوتات التي يديرها مجرمو الإنترنت. فيما يلي بعض الأمثلة الشهيرة:

  • أدانت وزارة العدل الأمريكية شابين لدورهما في تطوير وتشغيل شبكة Mirai الروبوتية: Paras Jha ، 21 ، و Josiah White ، 20. وهم متهمون بتنظيم وتنفيذ هجمات DDoS على الشركات ثم المطالبة بفدية لوقفها ، وكذلك بيع "خدمات" لهذه الشركات لمنع هجمات مماثلة في المستقبل.
  • اعتقلت السلطات الإسبانية ، في إطار عملية عبر الحدود بناء على طلب من الولايات المتحدة ، أحد سكان سانت بطرسبرغ ، بيتر ليفاشوف ، المعروف في دوائر المجرمين الإلكترونيين باسم بيتر سيفيرا. كان يدير Kelihos ، إحدى شبكات الإنترنت الأطول تشغيلًا ، والتي يُقدر أنها أصابت حوالي 100000 جهاز كمبيوتر. بالإضافة إلى الابتزاز ، استخدم Petr Levashov بنشاط Kelihos لتنظيم رسائل البريد العشوائي ، بتكلفة 200-500 دولار لكل مليون رسالة.
  • في العام الماضي ، تم اعتقال مراهقين إسرائيليين بتهمة تنظيم هجمات DDoS مقابل مكافآت. تمكن الزوجان من كسب حوالي 600000 دولار وتنفيذ حوالي 150.000 هجوم DDoS.

الروبوتات عبارة عن شبكات كمبيوتر تتكون من عدد كبير من أجهزة الكمبيوتر أو غيرها من الأجهزة المتصلة بالإنترنت ، والتي يتم تنزيل وتشغيل البرامج المستقلة - الروبوتات - بدون علم مالكيها. ومن المثير للاهتمام ، أن الروبوتات نفسها تم تطويرها في الأصل كأدوات برمجية لأتمتة المهام المتكررة والمتكررة غير الإجرامية. ومن المفارقات ، أن واحدة من أولى الروبوتات الناجحة ، والمعروفة باسم Eggdrop ، والتي تم إنشاؤها في عام 1993 ، تم تصميمها للتحكم في قنوات IRC (Internet Relay Chat) وحمايتها من محاولات الأطراف الثالثة للسيطرة عليها. لكن سرعان ما تعلمت العناصر الإجرامية لتسخير قوة شبكات الروبوت ، واستخدامها كنظم عالمية ، شبه تلقائية ، لتحقيق الربح.

خلال هذا الوقت ، تطورت برامج الروبوتات الضارة بشكل كبير ، ويمكن استخدامها الآن أساليب مختلفةالهجمات التي تحدث في وقت واحد في عدة اتجاهات. بالإضافة إلى ذلك ، فإن "اقتصاد الروبوتات" ، من وجهة نظر مجرمي الإنترنت ، يبدو جذابًا للغاية. بادئ ذي بدء ، لا توجد تكاليف بنية تحتية عمليًا ، حيث يتم استخدام أجهزة الكمبيوتر المخترقة وغيرها من المعدات التي تدعم الإنترنت لتنظيم شبكة من الأجهزة المصابة ، بطبيعة الحال ، دون علم مالكي هذه الأجهزة. هذا التحرر من الاستثمار في البنية التحتية يعني أن أرباح المجرمين ستكون مساوية تقريبًا لدخلهم من الأنشطة غير القانونية. بالإضافة إلى القدرة على استخدام مثل هذه البنية التحتية "المربحة" ، فإن إخفاء الهوية مهم للغاية أيضًا لمجرمي الإنترنت. للقيام بذلك ، يستخدمون بشكل أساسي العملات المشفرة "غير القابلة للتعقب" مثل Bitcoin عند طلب فدية. لهذه الأسباب ، أصبحت الروبوتات هي المنصة المفضلة للجرائم الإلكترونية.

من وجهة نظر تنفيذ نماذج الأعمال المختلفة ، تعد شبكات البوت نت منصة ممتازة لإطلاق العديد من الوظائف الضارة التي تجلب دخلاً غير قانوني لمجرمي الإنترنت:

  • التوزيع السريع والواسع النطاق رسائل البريد الإلكترونيتحتوي على برامج الفدية التي تتطلب فدية.
  • كمنصة لتصفية عدد النقرات على الرابط.
  • فتح خوادم بروكسي للوصول المجهول إلى الإنترنت.
  • تنفيذ محاولات اختراق أنظمة الإنترنت الأخرى عن طريق البحث بالقوة الغاشمة (أو "القوة الغاشمة").
  • تحتجز المراسلات الجماعيةرسائل البريد الإلكتروني واستضافة المواقع المزيفة للتصيد الاحتيالي على نطاق واسع.
  • سحب مفاتيح الأقراص المضغوطة أو بيانات ترخيص أخرى للبرنامج.
  • سرقة معلومات التعريف الشخصية.
  • الحصول على معلومات بطاقة الائتمان وغيرها من معلومات الحساب المصرفي ، بما في ذلك أرقام التعريف الشخصية أو كلمات المرور "السرية".
  • تثبيت كيلوغرزلالتقاط جميع البيانات التي يدخلها المستخدم في النظام.

كيف تصنع بوت نت؟

من العوامل المهمة التي تساهم في شعبية استخدام شبكات الروبوت بين مجرمي الإنترنت في عصرنا السهولة النسبية التي يمكن من خلالها تجميع المكونات المختلفة للبرامج الضارة وتغييرها وتحسينها. برمجةالروبوتات. فرصة ل الخلق السريعظهرت الروبوتات مرة أخرى في عام 2015 ، عندما الوصول العامتبين أنها أكواد المصدر لـ LizardStresser ، وهي مجموعة أدوات لتنفيذ هجمات DDoS التي أنشأتها مجموعة القراصنة المعروفة Lizard Squad. تحميل الروبوتات لإجراء هجمات DDOSاليوم يستطيع أي تلميذ (وهو ما يفعله بالفعل ، وفقًا لمنافذ الأخبار في جميع أنحاء العالم).

يحتوي رمز LizardStresser ، الذي يمكن تنزيله بسهولة واستخدامه ، على بعض الأساليب المعقدة لأداء هجمات DDoS: إبقاء اتصالات TCP مفتوحة ، أو إرسال سلاسل عشوائية عشوائية إلى منفذ TCP أو منفذ UDP ، أو إعادة إرسال حزم TCP مع قيم إشارة معينة. تضمنت البرامج الضارة أيضًا آلية لإطلاق أوامر shell بشكل عشوائي ، وهو أمر مفيد للغاية لتنزيل إصدارات محدثة من LizardStresser بأوامر جديدة وقائمة محدثة من الأجهزة المراقبة ، وكذلك لتثبيت برامج ضارة أخرى على الجهاز المصاب. منذ ذلك الحين ، أصبحت رموز المصدر للآخرين البرمجيات الخبيثةمن أجل تنظيم ومراقبة شبكات الروبوت ، بما في ذلك ، أولاً وقبل كل شيء ، برنامج Mirai ، الذي قلل بشكل كبير من "حاجز التكنولوجيا الفائقة" لبدء النشاط الإجرامي ، وفي الوقت نفسه ، زاد من فرص الربح والمرونة في استخدام الروبوتات.

كيف تحول إنترنت الأشياء (IoT) إلى كلوندايك لإنشاء شبكات الروبوت

من حيث عدد الأجهزة المصابة وحركة المرور التي تولدها أثناء الهجمات ، كان للاستخدام المكثف لأجهزة إنترنت الأشياء غير الآمنة تأثير متفجر ، مما أدى إلى ظهور شبكات الروبوت على نطاق غير مسبوق. لذلك ، على سبيل المثال ، في صيف عام 2016 ، قبل وأثناء الألعاب الأولمبية في ريو دي جانيرو مباشرة ، تم إنشاء إحدى شبكات الروبوت على أساس كود البرنامجاستخدم LizardStresser بشكل أساسي حوالي 10000 جهاز IoT مصاب (كاميرات الويب بشكل أساسي) لتنفيذ العديد من هجمات DDoS المستمرة بقوة مستدامة تزيد عن 400 جيجابت في الثانية ، ووصلت إلى 540 جيجابت في الثانية خلال ذروتها. نلاحظ أيضًا أنه وفقًا للتقديرات ، تمكنت Mirai botnet الأصلية من اختراق حوالي 500 ألف جهاز إنترنت الأشياء حول العالم.

على الرغم من قيام العديد من البائعين بإجراء بعض التغييرات منذ هذه الهجمات ، إلا أن معظم أجهزة إنترنت الأشياء لا تزال مزودة بإعدادات اسم المستخدم وكلمة المرور الافتراضية أو مع وجود ثغرات أمنية معروفة. بالإضافة إلى ذلك ، من أجل توفير الوقت والمال ، تقوم بعض الشركات المصنعة بشكل دوري بتكرار الأجهزة والبرامج المستخدمة لفئات مختلفة من الأجهزة. نتيجة لذلك ، يمكن تطبيق كلمات المرور الافتراضية المستخدمة للتحكم في الجهاز الأصلي على العديد من الأجهزة المختلفة تمامًا. وبالتالي ، تم بالفعل نشر المليارات من أجهزة إنترنت الأشياء غير الآمنة. وعلى الرغم من تباطؤ النمو المتوقع في عددها (وإن كان بشكل طفيف) ، فإن الزيادة المتوقعة في الأسطول العالمي لأجهزة إنترنت الأشياء "التي يحتمل أن تكون خطرة" في المستقبل المنظور لا يمكن إلا أن تكون صدمة (انظر الرسم البياني أدناه).

تعد العديد من أجهزة إنترنت الأشياء رائعة للاستخدام غير المصرح به كجزء من شبكات الروبوت الإجرامية للأسباب التالية:

  • بالنسبة للجزء الأكبر ، لا يمكن إدارتها ، بمعنى آخر ، فهي تعمل دون سيطرة مناسبة من الخارج. مدير النظام، مما يجعل استخدامها كوكلاء مجهولين فعالاً للغاية.
  • عادةً ما يكونون متصلين بالإنترنت على مدار الساعة طوال أيام الأسبوع ، مما يعني أنهم متاحون للهجوم في أي وقت ، وكقاعدة عامة ، دون أي قيود على عرض النطاقأو تصفية حركة المرور.
  • غالبًا ما يستخدمون نسخة مجردة من نظام التشغيل على أساس عائلة Linux. ويمكن تجميع برامج الروبوتات الخبيثة بسهولة للبنى المستخدمة على نطاق واسع ، وخاصة ARM / MIPS / x86.
  • مقطوع نظام التشغيليعني تلقائيًا فرصًا أقل لميزات الأمان ، بما في ذلك إعداد التقارير ، لذلك تمر معظم التهديدات دون أن يلاحظها أحد من قبل مالكي هذه الأجهزة.

فيما يلي مثال حديث آخر من شأنه أن يساعد في فهم القوة التي يمكن أن تتمتع بها البنى التحتية الإجرامية الحديثة للروبوتات: في نوفمبر 2017 ، أرسلت Necurs botnet سلالة جديدة من فيروس Scarab ransomware. نتيجة للحملة الجماعية ، تم إرسال حوالي 12.5 مليون رسالة بريد إلكتروني مصابة ، أي أن معدل التوزيع تجاوز مليوني بريد إلكتروني في الساعة. بالمناسبة ، شوهدت نفس الروبوتات تنشر أحصنة طروادة المصرفية Dridex و Trickbot ، وكذلك فيروسات Locky و Jans ransomware.

الاستنتاجات

إن التوافر العالي وسهولة الاستخدام لبرامج الروبوتات الخبيثة الأكثر تطوراً ومرونة في السنوات الأخيرة ، إلى جانب الزيادة الكبيرة في عدد أجهزة إنترنت الأشياء غير الآمنة ، جعلت شبكات الروبوت الإجرامية مكونًا رئيسيًا للاقتصاد الرقمي المتنامي تحت الأرض. في هذا الاقتصاد ، توجد أسواق للبيانات غير المشروعة ، وإجراءات خبيثة ضد أهداف محددة في توفير الخدمات للتأجير ، وحتى لعملتها الخاصة. وجميع توقعات المحللين وخبراء الأمن تبدو مخيبة للآمال للغاية - في المستقبل المنظور ، سيزداد الوضع سوءًا مع إساءة استخدام شبكات الروبوت لتحقيق أرباح غير مشروعة.

بجنون العظمة الأبدي ، أنطون كوتشوكوف.


أنظر أيضا:

مع تزايد شعبية إنترنت الأشياء وحجمها ، بدأ المهاجمون في استخدام أجهزتها كمنصة لتنظيم أقوى الهجمات الإلكترونية. أظهرت شدة وعدد الحوادث الأمنية البارزة التي تنطوي على مثل هذه الأجهزة أنها الحلقة الأضعف في سلسلة الأمان الحديثة. شبكات الحاسب. وعلى الرغم من أن قوة الحوسبة لمعظم موضوعات إنترنت الأشياء بعيدة كل البعد عن قدرات الكمبيوتر الشخصي ، فإن نقصها يتم تعويضه من خلال عدد الأجهزة المدمجة في وحدة واحدة. كلهم متصلون باستمرار بالشبكة ، وفي كثير من الأحيان ، يعملون في تكوين المصنع ، يصبحون لقمة لذيذة للمفرقعات. لقد اجتذب العدد الهائل والتوزيع الواسع والأمان الضعيف لأجهزة إنترنت الأشياء بالفعل العديد من المهاجمين الذين يستخدمونها بنشاط لشن هجمات DDoS.

المستقبل هو بالفعل هنا

ومن الأمثلة الحديثة المعروفة شبكة Mirai botnet (وتعني كلمة يابانية "المستقبل". - ملحوظة. إد.) ، تم اكتشافه لأول مرة في أغسطس 2016 بواسطة فريق البحث MalwareMustDie. أصبحت البرامج الضارة نفسها ، بالإضافة إلى متغيراتها ومحاكاتها العديدة ، مصادر أقوى هجمات DDoS في تاريخ صناعة تكنولوجيا المعلومات.

في سبتمبر 2016 ، تم نشر الموقع الإلكتروني للمستشار على حماية الحاسوببدأ Brian Krebs في تلقي حركة المرور بسرعة 620 جيجابت / ثانية ، وهي أوامر من حيث الحجم أعلى من المستوى الذي تفشل فيه معظم المواقع. في نفس الوقت تقريبًا ، ضرب هجوم Mirai DDoS الأكثر قوة (1.1 تيرا بايت في الثانية) OVH ، وهو مزود خدمة استضافة ويب فرنسي و خدمات سحابية. وسرعان ما تم نشر الكود المصدري للبرنامج الخبيث ، وبعد ذلك بدأ المهاجمون في استئجار شبكات الروبوت المبنية عليها والتي تحتوي على ما يصل إلى 400 ألف جهاز. تبع ذلك سلسلة من هجمات Mirai ، وأكثرها شهرة ، والتي تم تنظيمها ضد مزود الخدمة Dyn ، في أكتوبر 2016 عطلت مئات المواقع لعدة ساعات ، بما في ذلك Twitter و Netflix و Reddit و GitHub.

ينتشر Mirai عادةً عن طريق إصابة كاميرات الويب ، ومسجلات الفيديو الرقمية ، وأجهزة التوجيه ، وما إلى ذلك ، والتي تقوم بتشغيل إصدار واحد من BusyBox. يكتشف البرنامج الضار بعد ذلك بيانات الاعتماد الإدارية لأجهزة إنترنت الأشياء الأخرى عن طريق القوة الغاشمة ببساطة باستخدام قاموس صغير للبائعين العامين. أجهزة الشبكةأزواج "اسم كلمة المرور".

بعد ذلك ، بدأت طفرات ميراي تظهر حرفياً على أساس يومي ، وحقيقة أنها احتفظت بالقدرة على التكاثر والتسبب في الضرر باستخدام نفس الأساليب الأصلية تشير إلى إهمال مزمن لمصنعي أجهزة إنترنت الأشياء بأبسط طرق الحماية. ومن المفارقات ، مع ذلك ، أن الروبوتات التي تشكلت من مثل هذه الأجهزة قد تلقت القليل من البحث ، على الرغم من الخطر المتمثل في أن الهجمات المتطورة بشكل متزايد القائمة على هذه الأجهزة لديها القدرة على تقويض البنية التحتية للإنترنت بالكامل.

كيف يعمل ميراي

تشن Mirai هجوم DDoS ضد الخوادم المستهدفة ، وتنتشر بنشاط عبر أجهزة إنترنت الأشياء بتكوين غير آمن.

المكونات الرئيسية

تتكون شبكة Mirai Botnet من أربعة مكونات رئيسية. الروبوت هو برنامج ضار يصيب الأجهزة وينشر "عدوى" بين الأجهزة التي تم تكوينها بشكل خاطئ ، ثم يهاجم الخادم الهدف عندما يتلقى الأمر المناسب من botmaster - الشخص الذي يتحكم في الروبوتات. يزود خادم القيادة والتحكم مدير الروبوت بواجهة للتحقق من حالة شبكة الروبوتات وبدء هجمات DDoS جديدة. عادة ما يتم الاتصال بين عناصر البنية التحتية للروبوتات من خلال مجهول شبكة Tor. يوزع المُحمل ملفات قابلة للتنفيذ لجميع الأنظمة الأساسية للأجهزة (18 في المجموع ، بما في ذلك ARM و MIPS و x86 وما إلى ذلك) من خلال الاتصال المباشر بضحايا جدد. يحتفظ خادم التقارير بقاعدة بيانات للمعلومات حول جميع الأجهزة الموجودة في شبكة الروبوتات ، وعادة ما يتصل المضيفون المصابون حديثًا بهذا الخادم مباشرةً.

مخطط النشاط والاتصال في الروبوتات

تقوم Mirai أولاً بمسح المنفذين 23 و 2323 بحثًا عن عناوين IP عامة عشوائية. تم استبعاد بعض العناوين (ربما حتى لا تجذب انتباه الوكالات الحكومية) - على سبيل المثال ، تلك التي تنتمي إلى مكتب البريد الأمريكي ، والبنتاغون ، و IANA ، وكذلك جنرال إلكتريك وهيوليت باكارد. على التين. يوضح الشكل 1 المراحل الرئيسية للنشاط وتبادل البيانات في شبكة الروبوتات.

المرحلة 1.يقوم الروبوت بهجوم القوة الغاشمة عن طريق استخراج بيانات اعتماد أجهزة إنترنت الأشياء التي لم تتم إعادة ضبط المصنع. يوجد 62 زوجًا محتملًا لاسم المستخدم / كلمة المرور في قاموس ميراي.

المرحلة الثانية.بعد العثور على بيانات اعتماد العمل واستخدامها للوصول إلى سطر الأوامرأو الرسم واجهة المستخدمالجهاز ، ينقل الروبوت خصائصه إلى خادم التقارير من خلال منفذ مختلف.

المرحلة 3.يتحقق botmaster بانتظام من الأهداف المحتملة والحالة الحالية للشبكة من خلال الاتصال بخادم التقارير عبر Tor.

المرحلة الرابعة.بعد تحديد الأجهزة المعرضة للإصابة ، يقوم botmaster بإصدار الأوامر المناسبة إلى أداة التنزيل بجميع التفاصيل الضرورية ، بما في ذلك عناوين IP والمعلومات حول بنية الأجهزة.

المرحلة الخامسة.يقوم برنامج التنزيل بتسجيل الدخول إلى الجهاز الضعيف ويجبره على تنزيل البرنامج الضار القابل للتنفيذ وتشغيله. عادة ، يتم التنزيل باستخدام الأداة المساعدة GNU Wget باستخدام بروتوكول TFTP. جدير بالذكر أنه بمجرد إطلاق البرنامج الضار ، فإنه يحاول حماية نفسه من المنافسين عن طريق حجب المنافذ التي تحدث العدوى من خلالها غالبًا ، بما في ذلك Telnet و SSH. في هذه المرحلة ، يمكن لمثيل الروبوت الذي تم إنشاؤه حديثًا الاتصال بالفعل بخادم التحكم وتلقي الأوامر منه لشن هجوم. يقوم بذلك عن طريق حل اسم المجال المشفر بشكل ثابت في الملف القابل للتنفيذ (الافتراضي في Mirai هو cnc.changeme.com). هذه الطريقة ، المستخدمة بدلاً من الوصول المباشر إلى عنوان IP ، تسمح لمدير botmaster بتغيير عناوين IP لخادم التحكم دون تعديل الملفات الثنائية وتبادل المعلومات الإضافية.

المرحلة 6.يوجه botmaster جميع مثيلات الروبوت لبدء هجوم ضد الخادم الهدف ، ويمرر المعلمات المناسبة من خلال خادم الأوامر والتحكم ، بما في ذلك نوع الهجوم ومدته ، بالإضافة إلى عناوين IP للخادم نفسه والروبوت حالات.

المرحلة 7.تبدأ الروبوتات في مهاجمة الهدف باستخدام واحدة من عشرات الطرق المتاحة ، بما في ذلك الإغراق باستخدام تغليف التوجيه العام وبروتوكولات TCP و HTTP.

خصائص ميراي

على عكس البرامج الضارة الأخرى المماثلة ، لا يحاول Mirai تجنب الكشف. تحتوي جميع مراحل الإصابة تقريبًا على ميزات مميزة يمكن التعرف عليها باستخدام تحليل بسيط للشبكة: تعداد أوراق اعتماد معينة من خلال منافذ معينة ؛ إرسال تقارير مخصصة ؛ تحميل ثنائيات محددة ؛ الرسائل للحفاظ على الاتصال ؛ نقل أوامر التحكم بهيكل مميز ؛ الغياب شبه الكامل للعناصر العشوائية في حركة مرور الهجوم.

على التين. يوضح الشكل 2 الأوضاع القياسية للاتصال بين محمل إقلاع Mirai وجهاز إنترنت الأشياء مصاب بالفعل ولكن لم يتم مهاجمته بعد. تختلف مدة الجلسات ، ولكن أنواع وأحجام الحزم ، بالإضافة إلى تسلسل الرسائل ، تتبع الأنماط التي تشير إلى الإصابة بهذا البرنامج الضار المحدد.

متغيرات ميراي

يبدو أن نشر كود ميراي المصدري وضوضاء الشبكة الصاخبة نسبيًا كان يجب أن يؤدي إلى الظهور السريع لآليات التعرف والحماية الفعالة. ومع ذلك ، لم يحدث هذا: بعد شهرين فقط من إصدار الكود المصدري ، تضاعف عدد حالات الروبوت بأكثر من الضعف ، من 213 ألفًا إلى 493 ألفًا ، وظهر عدد كبير من أصنافها. حتى بعد مرور أكثر من عام على اكتشاف Mirai ، كانت الروبوتات لا تزال تستخدم تكوينات أجهزة ضعيفة من نفس الأنواع كما كانت في الأصل.

تحدث معظم إصابات Mirai عبر منافذ TCP 23 أو 2323 ، ولكن في نوفمبر 2016 تم العثور على سلالات من الفيروس تصل إلى منافذ أخرى ، بما في ذلك 7547 ، التي يستخدمها مزودو خدمات الإنترنت جهاز التحكمأجهزة توجيه العميل. في نفس الشهر ، ترك أحد هذه المتغيرات من Mirai ما يقرب من مليون مشترك في Deutsche Telekom دون الوصول إلى الويب.

في فبراير 2017 ، باستخدام متغير Mirai ، تم شن هجوم DDoS لمدة 54 ساعة ضد إحدى الكليات الأمريكية. في الشهر التالي ، ظهر متغير آخر ، هذه المرة مع مرافق تعدين البيتكوين المدمجة ، على الرغم من أنه كان من المقدر أن استخدام أجهزة إنترنت الأشياء لهذا الغرض من غير المرجح أن يجلب الكثير من الدخل.

في أبريل ، بدأ النشاط في Persirai ، وهو روبوت آخر تم إنشاؤه باستخدام قاعدة بيانات Mirai. تم اكتشاف شبكة الزومبي هذه من قبل باحثي تريند مايكرو ، الذين أعطوها اسمًا من خلال الجمع بين الكلمتين الفارسية وميراي - تم اختيار الأولى بناءً على الأصل الإيراني المزعوم للبرنامج الضار. يحاول الوصول إلى واجهة الإدارة لكاميرات الويب الخاصة بمصنعين معينين على منفذ TCP 81. إذا نجح ذلك ، فإنه يتسلل إلى جهاز التوجيه باستخدام ثغرة في UPnP ثم يقوم بتنزيل الثنائيات الإضافية وتشغيلها وإزالتها. بدلاً من إجبار بيانات الاعتماد على الدخول إلى واجهة الكاميرا ، يستخدم الفيروس عيبًا في يوم الصفر لاسترداد ملف كلمة المرور مباشرةً. يتم تنفيذ هجوم DoS الموزع عن طريق إغراق بروتوكول UDP. وفقًا للتقديرات ، كان هناك حوالي 120 ألف جهاز على الويب معرضة لخطر بيرسيراي.

شبكات إنترنت الأشياء الأخرى

يعتمد على المبادئ الأساسيةبدأ ميراي ، مبتكرو البرامج الضارة الجديدة في استخدام آليات أخرى أكثر تعقيدًا لزيادة قوة وإخفاء نشاط شبكات الزومبي.

في أغسطس 2016 ، أبلغ باحثون في MalwareMustDie عن أول روبوت قائم على إنترنت الأشياء تم إنشاؤه باستخدام لغة البرمجة النصية Lua. يتكون معظم جيش الروبوتات من أجهزة مودم كبلية مع معالجات ARM تعمل بنظام Linux. البرمجيات الخبيثة وظائف معقدة- على سبيل المثال ، ينشئ قناة تبادل بيانات مشفرة مع خادم التحكم ويضع قواعد iptables خاصة لحماية الأجهزة المصابة من المنافسين.

تستخدم شبكة هاجيمي الروبوتية ، التي تم اكتشافها في أكتوبر 2016 بواسطة شبكات رابيدتي ، طريقة عدوى مشابهة لطريقة ميراي. ولكن بدلاً من البنية المركزية ، يعتمد هاجيمي على نظام اتصال موزع ، باستخدام بروتوكول BitTorrent Distributed Hash Tag (DHT) لاكتشاف الأقران (مستخدمو شبكة الأقران) ، ويستخدم بروتوكول نقل uTorrent لتبادل البيانات. يتم تشفير جميع الرسائل باستخدام بروتوكول RC4. حتى الآن ، لم يثبت هاجيمي نفسه الجانب السلبيعلى العكس من ذلك ، فهو يعالج المصادر المحتملة للثغرات الأمنية في أجهزة إنترنت الأشياء التي تستخدمها شبكات الروبوت مثل Mirai ، مما يؤدي إلى الرأي القائل بأن بعض "Robin Hood" ابتكرها. ومع ذلك ، فإن الغرض الحقيقي من الروبوتات ظل لغزا.

تم اكتشاف الروبوتات BrickerBot ، التي تصيب برنامج BusyBox ، مثل Mirai ، بواسطة خبراء Radware في أبريل 2017. باستخدام بيانات اعتماد SSH الافتراضية ، بالإضافة إلى التهيئة الخاطئة ونقاط الضعف المعروفة ، تحاول البرامج الضارة إطلاق هجمات الحرمان الدائم للخدمة (PDoS) ضد أجهزة إنترنت الأشياء المدمرة بدرجة كافية لفرض إعادة التكوين أو استبدال المعدات. يفسد BrickerBot البرامج الثابتة للجهاز ، ويحذف الملفات الموجودة عليها ويغير إعدادات الشبكة.

الدروس

أظهر الضرر الهائل الذي تسببه هجمات Mirai ومتغيراتها وشبكات الروبوت المماثلة بوضوح المخاطر التي تشكلها أجهزة إنترنت الأشياء على شبكة الانترنت. اليوم ، فيروسات بسيطة إلى حد ما قادرة على السيطرة على مثل هذه الأجهزة وإنشاء جيوش مدمرة ضخمة من "الزومبي". في الوقت نفسه ، ينجذب المهاجمون إلى بساطة زيادة عدد سكان الروبوتات. هناك خمسة أسباب رئيسية تجعل أجهزة إنترنت الأشياء مفيدة بشكل خاص في إنشاء شبكات الروبوت.

  1. نشاط مستمر دون عوائق.على عكس أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية ، التي غالبًا ما يتم تشغيلها وإيقاف تشغيلها ، فإن العديد من أجهزة إنترنت الأشياء (مثل كاميرات الويب و موجهات Wi-Fi) تعمل على مدار الساعة وغالبًا ما ينظر إليها أصحابها على أنها أجهزة لا يمكن أن تكون عرضة للإصابة بالعدوى.
  2. نقص الحماية.في اندفاعهم لدخول سوق إنترنت الأشياء ، يتجاهل العديد من مصنعي الأجهزة الأمان لصالح الراحة وسهولة الاستخدام.
  3. عدم السيطرة.تُستخدم معظم أجهزة إنترنت الأشياء على أساس "ضبطها ونسيانها" - بعد الإعداد الأولي ، يمكن لمسؤولي النظام الانتباه إليها فقط إذا توقفوا عن العمل بشكل صحيح.
  4. حركة هجوم رائعة.تعد أجهزة إنترنت الأشياء اليوم قوية بما يكفي وتتمتع بموقع جيد لتوليد حركة هجوم DDoS بقوة أجهزة الكمبيوتر المكتبية الحالية.
  5. واجهات مستخدم غير تفاعلية أو تفاعلية.نظرًا لأن أجهزة إنترنت الأشياء تتطلب عادةً الحد الأدنى من تدخل المستخدم ، فمن المحتمل ألا يتم اكتشاف العدوى. ولكن حتى لو لوحظ ذلك ، فلن يكون المستخدمون متاحين طرق بسيطةالقضاء على البرامج الضارة ، باستثناء الاستبدال المادي للجهاز.

لطالما تم التنبؤ بظهور هجمات DDoS التي تنفذها أجهزة إنترنت الأشياء ، واليوم يتزايد عدد المتغيرات المتطورة بشكل متزايد ومحاكاة ميراي بمعدل ينذر بالخطر. عادةً ما تكون هذه البرامج الضارة قادرة على العمل على العديد من الأنظمة الأساسية ، ويمكن أن تكون محتواها بحد أدنى ، نظرًا لاستهلاكها المنخفض للموارد ذاكرة الوصول العشوائي. بالإضافة إلى ذلك ، فإن إجراء العدوى بسيط نسبيًا ، مما يجعل أي جهاز ضعيف مرشحًا ليتم تحويله إلى زومبي ، حتى لو تم إعادة تشغيله بشكل متكرر. من السهل اكتشاف وتحليل معظم برامج إنترنت الأشياء الضارة الموجودة اليوم ، لكن الروبوتات الجديدة أصبحت أكثر تخفيًا.

عادةً ما تقع معظم المسؤولية عن هجمات DDoS على عاتق المستخدمين أنفسهم ومسؤولي النظام الذين يتجاهلون الاحتياطات الأولية. ومع ذلك ، في حالة شبكات إنترنت الأشياء ، تقع المسؤولية الكاملة على عاتق الشركات المصنعة التي تنتج منتجات محمية بشكل ضعيف مع إعدادات المصنع. الوصول عن بعد. بالإضافة إلى ذلك ، فإن الشركات المصنّعة لأجهزة إنترنت الأشياء هي وحدها التي لديها القدرة على توفير تحديثات أمنية خاصة تلقائيًا للحماية من الإصابات. ممارسات الأمان اليدوية التقليدية ، مثل التغييرات المتكررة لكلمات المرور ، غير ممكنة لأجهزة إنترنت الأشياء لأن أجهزة إنترنت الأشياء ذاتية التنظيم على الشبكة. لذلك ، تتطلب إنترنت الأشياء اليوم الوسائل التقنيةضوابط الأمان ، ومعايير حماية الجهاز القوية التي يجب على جميع البائعين الالتزام بها.

جيفري فواس ( [بريد إلكتروني محمي]) زميل IEEE.

كونستانتينوس كولياس ، جورجيوس كامبوراكيس ، أنجيلوس ستافرو ، جيفري فواس ، DDoS في إنترنت الأشياء: ميراي وشبكات أخرى. IEEE Computer ، يوليو 2017 ، IEEE Computer Society. كل الحقوق محفوظة. أعيد طبعها بإذن.

في الشهر الماضي كانت هناك هجمات على مواقع كبيرة مثل تويترأو Spotify ، الذي قام بتعطيلها مؤقتًا. لهذا ، تم استخدام الروبوتات. ميرايبتوحيد 400-500 ألف جهاز لإنترنت الأشياء. علم صحفيو Motherboard الآن أن اثنين من المتسللين تمكنوا من السيطرة على الروبوتات وإنشاء نسخة جديدة منها - فهي تدمج بالفعل مليون جهاز. تم اختبار قوتها من قبل المشتركين في المزود الألماني دويتشه تليكوم، الذي تعطلت شبكته نهاية الأسبوع الماضي.

صيد ميراي

تمكن الصحفيون من التحدث إلى أحد هذين المخترقين الغامضين - وهو يستخدم لقب BestBuy. في محادثة مشفرة عبر الإنترنت ، أخبرهم أن صراعًا حقيقيًا قد اندلع بين المتسللين للسيطرة على ميراي. تم اكتشاف ثغرة أمنية مؤخرًا في برامجه. يمكن أن يسمح استخدامه ، إلى جانب السرعة ، لـ BestBuy وشريكها Popopret بالسيطرة على معظم الروبوتات وتكميلها بأجهزة جديدة.

في وقت سابق ، درس خبراؤنا كود Mirai botnet - واتضح أنه لم يتم إنشاؤه خصيصًا لأجهزة إنترنت الأشياء. تبحث البرامج الضارة عن الأجهزة المتصلة بالشبكة باستخدام كلمات مرور وكلمات مرور افتراضية (المسؤول: المسؤول ، الجذر: كلمة المرور ، وما إلى ذلك). هذا يعني أنه ، من الناحية النظرية ، يمكن أن يشمل أي جهاز ، بما في ذلك أجهزة الكمبيوتر المنزلية والخوادم أو أجهزة التوجيه.

أجهزة إنترنت الأشياء- عادة الموجهات - جزء من بوتنت ميرايحتى يتم إعادة التشغيل - ثم يتم محو الدودة من ذاكرتهم. ومع ذلك ، فإن الروبوتات تفحص الإنترنت باستمرار بحثًا عن الأجهزة المعرضة للخطر ، بحيث يمكن للجهاز "المعالج" أن يصبح سريعًا جزءًا منه مرة أخرى. هناك سباق حقيقي بين المتسللين ليكونوا أول من يصيب أكبر عدد ممكن من الأجهزة.

لا توجد معلومات حول كيفية تمكن مبتكري Mirai الجديدة من تجاوز المنافسين. ومع ذلك ، أخبروا المراسلين أنهم يستخدمون الروبوتات الخاصة بهم لفحص الأجهزة التي يحتمل أن تكون معرضة للخطر ، بما في ذلك تلك التي كانت في السابق جزءًا من الروبوتات.

يقول BestBuy: "لماذا لا تجعل ميراي تصطاد ميراي وتلتهم الأصل".

ليس فقط ميراي

ومع ذلك ، فإن الروبوتات الجديدة لم تلتهم فقط الأجهزة القديمة من Mirai والأجهزة الجديدة التي تحتوي على كلمات مرور افتراضية. يستخدم منشئوها أيضًا ثغرات أمنية لمدة يوم واحد في البرامج الثابتة لأجهزة إنترنت الأشياء. وتوقع الخبراء في السابق ظهور مثل هذه الشبكات "المجمعة".

تصبح المعركة ضدهم أكثر تعقيدًا بشكل ملحوظ - إذا كان مستخدم الجهاز النهائي يحتاج فقط إلى تغيير اسم المستخدم وكلمة المرور لمواجهة ميراي نفسه ، فلن يتمكن من التعامل مع نقاط ضعف الجهاز بمفرده.

DDoS بسرعة 700 جيجابت في الثانية

بدأ قراصنة BestBuy و Popopret في الإعلان عن خدماتهم - فهم يوفرون الوصول إلى نسخة جديدةميراي ترسل رسائل بريد عشوائي عبر XMPP / Jabber ،

وفقًا للهاكر ، فإنهم يقدمون العديد من حزم الخدمة للعميل. أرخص ورث $2 000 - مقابل هذه الأموال ، يمكن للعملاء الاستئجار من من 20000 إلى 25000عقد botnet لإطلاق الحراس في فترة تصل إلى أسبوعين مع استراحة بين الهجمات لمدة خمسة عشر دقيقة. خلف $15 000 أو $20 000 يحصل العملاء على فرصة لـ 600000 روبوت بالفعل لشن هجمات لمدة ساعتين بفواصل لمدة 30 أو 15 دقيقة. في الحالة الثانية ، ستكون قوة الهجوم 700 جيجابت في الثانيةاو اكثر.

آفاق

أمان أجهزة إنترنت الأشياءغالبًا ما يكون عند مستوى منخفض نوعًا ما - ويرجع ذلك إلى حقيقة أن البائعين لا يهتمون في كثير من الأحيان بإدخال تدابير إضافية أمن المعلومات. يعلنون عن سهولة استخدام منتجاتهم ، وتفرض جميع تدابير أمن المعلومات الإضافية قيودًا وتتطلب موارد.

كما هو مذكور أعلاه ، يمكن فقط لمطوري الأجهزة الطرفية أو مقدمي الخدمات (في حالة أجهزة التوجيه) حماية المستخدمين من شبكات الروبوت الأكثر تقدمًا. أعلنت شركة ISP Deutsche Telekom الألمانية ، التي تضررت من الإصدار الجديد من Mirai ، أنها ستعيد النظر في العلاقات التجارية مع موردي أجهزة التوجيه الضعيفة. السرعة، شركة أركاديان.

في النهاية ، سيكون من الممكن زيادة مستوى أمان إنترنت الأشياء من خلال إدخال سيطرة أكثر صرامة على الأجهزة من قبل المزودين ، من ناحية ، وتطوير المعايير والوثائق التنظيمية لإنترنت الأشياء ، من ناحية أخرى. وقد تم بالفعل اتخاذ تدابير مماثلة في العديد من البلدان لضمان سلامة APCS. تم بالفعل اتخاذ الخطوات الأولى في هذا الاتجاه - على سبيل المثال ، نشر العديد من بائعي تكنولوجيا المعلومات وثيقة في سبتمبر بعنوان الصناعية أمن الإنترنتالإطار (IISF)- يقترح اعتبار إنترنت الأشياء كجزء من "الإنترنت الصناعي".

ومع ذلك ، فإن الحل النهائي للقضية لا يزال بعيدًا والمتسللين أفضل شراء و Popopretيمكن الحصول على احتكار كبير هجمات DDoSمتصل. هذه حقيقة محزنة إلى حد ما ، لكن اللصوص أنفسهم أثناء محادثة مع اللوحة الأمأعلنوا أنهم سوف يسترشدون في أنشطتهم ليس فقط بالربح ، ولكن أيضًا بالمبادئ الأخلاقية. لذلك صرحت BestBuy أنها لن تسمح للعملاء بمهاجمة عناوين IP للشركات التي تعمل بالبنية التحتية الحيوية.

أكثر شبكات إنترنت الأشياء شهرة وانتشارًا هما Mirai و Gafgyt - تواصلان "التكاثر". تم اكتشاف أنواع جديدة من هذه البرامج الضارة تستهدف قطاع الشركات. يكمن الخطر الرئيسي لهذه التهديدات الإلكترونية في هجمات DDoS القوية بما يكفي للتنظيم الجيد.

يكمن سبب انتشار هذين البرنامجين الضارين في الدمج مصدر الرمزالتي أصبحت متاحة للجمهور قبل بضع سنوات. بدأ مجرمو الإنترنت المبتدئون على الفور في ابتكار برامجهم الخبيثة بناءً على ذلك.

في معظم الحالات ، وبسبب عدم كفاءة المهاجمين ، لم تمثل استنساخ ميراي وجافكيت أي مشاريع جادة ولم تحمل تغييرات كبيرة في قدراتها.

ومع ذلك ، فقد أظهرت أحدث أشكال الروبوتات ميلًا للإصابة أجهزة الشركة. في تقرير الوحدة 42 ، الأوامر شبكات بالو ألتويقال إن عينات Mirai و Gafgyt الجديدة قد أضافت عددًا من برمجيات إكسبلويت الجديدة إلى ترسانتها التي تستخدم نقاط ضعف قديمة.

تهاجم Mirai الآن الأنظمة التي تعمل بنظام Apache Struts غير المصحح (وهو ما تم اختراقه العام الماضي). كان التصحيح الخاص بعيب CVE-2017-5638 موجودًا منذ أكثر من عام ، ولكن ، بالطبع ، لم يقم الجميع بتحديث التثبيتات الخاصة بهم.

مجموع ميراي هذه اللحظة 16 استغلالًا ، معظمها مصمم لاختراق أجهزة مثل أجهزة التوجيه ومسجلات الفيديو الشبكية والكاميرات المختلفة.

تهاجم Gafgyt (المعروفة أيضًا باسم Baslite) أيضًا معدات الأعمال ، وتستهدف الثغرة الأمنية التي تم اكتشافها مؤخرًا CVE-2018-9866. يؤثر هذا الخلل الأمني ​​الخطير على الإصدارات غير المدعومة من نظام الإدارة العالمي (GMS) من سونيك وول. سجل باحثو الوحدة 42 عينات جديدة في 5 أغسطس ، بعد أقل من أسبوع من نشر الوحدة. ميتاسبلويتلهذه الثغرة الأمنية.

يمكن للأجهزة المتأثرة بـ Gafgyt فحص الأجهزة الأخرى بحثًا عن أنواع مختلفة من مشكلات الأمان ، بالإضافة إلى مهاجمتها بمآثر معروفة. نوع آخر من الهجمات التي يمكن أن يقوم بها هذا البرنامج الضار هو Blacknurse ، وهو هجوم ICMP يؤثر بشدة على استخدام وحدة المعالجة المركزية ، مما يؤدي إلى رفض الخدمة.

وجد الخبراء أيضًا أن هذين النوعين المختلفين من الروبوتات تم استضافتهما في نفس المجال. هذا يثبت أن نفس مجرمي الإنترنت أو مجموعة منهم وراءهم.

في نهاية الشهر الماضي ، أبلغنا عن ذلك. يتم توفير هذه البيانات في تقرير مؤشر التهديد العالمي لشهر يوليو 2018.

وفي هذا الشهر ، كشفت سلطات إنفاذ القانون عن هوية ساتوري ، أحد أشهر أجهزة استقبال ميراي. واتضح أن المجرم الإلكتروني يواجه حاليًا تهمًا.



تحميل...
قمة