Мирай эх код. Ботнет сүлжээ: энэ нь хэрхэн ажилладаг, хэрхэн мөнгө олдог

2016 онд Америкийн DNS үйлчилгээ үзүүлэгч Dyn-д хийсэн Mirai ботнет халдлага нь өргөн резонанс үүсгэж, ботнетуудын анхаарлыг ихэд татсан. Гэсэн хэдий ч орчин үеийн кибер гэмт хэрэгтнүүд ботнетийг хэрхэн ашигладагтай харьцуулахад Дин рүү дайрах нь хүүхдийн тоглоом мэт санагдаж магадгүй юм. Гэмт хэрэгтнүүд асар их хэмжээний хууль бус ашиг олохын тулд халдвар авсан компьютер болон интернетэд холбогдсон бусад төхөөрөмжүүдийн бүхэл бүтэн дэд бүтцийг бий болгож чадах боловсронгуй хортой програмыг эхлүүлэхийн тулд ботнет ашиглаж сурсан.

IN өнгөрсөн жил хууль сахиулахботнеттэй холбоотой гэмт хэргийн үйл ажиллагаатай тэмцэхэд тодорхой ахиц дэвшил гаргасан боловч одоогоор эдгээр хүчин чармайлт нь кибер гэмт хэрэгтнүүдийн удирддаг ботнетэд хангалттай хэмжээний зөрчил гаргахад хангалтгүй байгаа нь лавтай. Энд зарим алдартай жишээ байна:

• АНУ-ын Хууль зүйн яам хоёр залууг Мирай ботнетийг хөгжүүлэх, ажиллуулахад үүрэг гүйцэтгэсэн хэргээр буруутгав: 21 настай Парас Жа, 20 настай Жосиа Уайт. Тэднийг компаниуд руу DDoS халдлага зохион байгуулж, улмаар тэднийг зогсоохын тулд золиослохыг шаардсан, мөн эдгээр компаниудад ирээдүйд ижил төрлийн халдлагаас сэргийлэхийн тулд "үйлчилгээ" зарсан хэмээн буруутгаж байгаа юм.
• Испанийн эрх баригчид АНУ-ын хүсэлтээр хил дамнасан ажиллагааны хүрээнд кибер гэмт хэргийн хүрээнийхэнд Питер Севера нэрээр алдаршсан Санкт-Петербург хотын оршин суугч Петр Левашовыг баривчилжээ. Тэрээр 100,000 орчим компьютерт халдсан гэх интернетийн хамгийн урт хугацааны ботнетүүдийн нэг болох Kelihos-ийг удирдаж байсан. Петр Левашов дарамт шахалтаас гадна Келихосыг спам илгээмжийг зохион байгуулахдаа идэвхтэй ашиглаж, нэг сая мессеж тутамд 200-500 доллар авдаг байжээ.
• Өнгөрсөн жил Израилийн хоёр өсвөр насны хүүхдийг шагнал авах зорилгоор DDoS халдлага зохион байгуулсан хэргээр баривчилжээ. Хосууд 600,000 орчим долларын орлого олж, 150,000 DDoS халдлага хийж чадсан байна.

Ботнет гэдэг нь олон тооны компьютер эсвэл интернетэд холбогдсон бусад төхөөрөмжөөс бүрдэх компьютерийн сүлжээ бөгөөд тэдгээрт эзэмшигчид нь мэдэгдэлгүйгээр бие даасан програм хангамж - роботуудыг татаж аваад ажиллуулдаг. Сонирхолтой нь, роботууд өөрсдөө гэмт хэрэг үйлддэггүй, давтагддаг, давтагддаг ажлуудыг автоматжуулах програм хангамжийн хэрэгсэл болгон бүтээгдсэн байдаг. Хачирхалтай нь, 1993 онд бүтээгдсэн Eggdrop гэгддэг анхны амжилттай ботуудын нэг нь IRC (Internet Relay Chat) сувгуудыг гуравдагч этгээдийн хяналтад авах оролдлогоос хянах, хамгаалах зорилготой юм. Гэвч гэмт хэрэгтнүүд ботнетийн хүчийг дэлхийн, бараг автомат, ашиг орлого олох систем болгон ашиглаж сурсан.

Энэ хугацаанд ботнетийн хортой програм ихээхэн хувьсан өөрчлөгдөж, одоо ашиглаж болно янз бүрийн аргахэд хэдэн чиглэлд нэгэн зэрэг тохиолддог халдлага. Нэмж дурдахад кибер гэмт хэрэгтнүүдийн үүднээс "бот эдийн засаг" нь маш сонирхолтой харагдаж байна. Юуны өмнө, гэмтсэн компьютерууд болон интернетэд холбогдсон бусад төхөөрөмжийг халдвар авсан машинуудын сүлжээг зохион байгуулахад ашигладаг тул дэд бүтцийн зардал бараг байдаггүй, учир нь эдгээр төхөөрөмжийн эзэмшигчид мэдэгдэлгүйгээр. Дэд бүтцэд хөрөнгө оруулалт хийхгүй байх нь гэмт хэрэгтнүүдийн ашиг хууль бус үйл ажиллагаанаас олсон орлоготой бараг тэнцүү болно гэсэн үг юм. Ийм "ашигтай" дэд бүтцийг ашиглахаас гадна цахим гэмт хэрэгтнүүдийн хувьд нэрээ нууцлах нь маш чухал юм. Үүний тулд тэд золиос шаардахдаа биткойн зэрэг “мөшгих боломжгүй” криптовалютуудыг голчлон ашигладаг. Эдгээр шалтгааны улмаас ботнет нь кибер гэмт хэргийн хамгийн тохиромжтой платформ болсон.

Төрөл бүрийн бизнесийн загваруудыг хэрэгжүүлэх үүднээс ботнет нь кибер гэмт хэрэгтнүүдэд хууль бус орлого авчирдаг янз бүрийн хорлонтой үйл ажиллагааг эхлүүлэх маш сайн платформ юм.

• Хурдан бөгөөд том хэмжээний хуваарилалт имэйлүүдзолиос шаарддаг ransomware агуулсан.
• Холбоос дээрх товшилтын тоог дуусгах платформ болгон.
• Нэргүй интернетэд нэвтрэх прокси серверүүдийг нээж байна.
• Харгис хүчээр хайлт хийх (эсвэл "харгис хүч") ашиглан бусад интернетийн системийг хакердах оролдлогыг хэрэгжүүлэх.
• Барьж байна бөөнөөр илгээхи-мэйл болон том хэмжээний фишинг хийх хуурамч сайтуудыг байршуулах.
• Програм хангамжийн CD-түлхүүр эсвэл бусад лицензийн өгөгдлийг эргүүлэн татах.
• Хувийн таних мэдээллийг хулгайлсан.
• ПИН код эсвэл "нууц" нууц үг зэрэг зээлийн карт болон бусад банкны дансны мэдээллийг авах.
• Суурилуулалт keyloggersхэрэглэгчийн системд оруулсан бүх өгөгдлийг авахын тулд.

Хэрхэн ботнет үүсгэх вэ?

Өнөө үед кибер гэмт хэрэгтнүүдийн дунд ботнетийн хэрэглээ түгээмэл болоход нөлөөлж буй чухал хүчин зүйл бол хорлонтой үйлдлийн төрөл бүрийн бүрэлдэхүүн хэсгүүдийг угсрах, өөрчлөх, сайжруулах харьцангуй хялбар байдал юм. програм хангамжботнет. -д зориулсан боломж хурдан бүтээхБотнет нь 2015 онд гарч ирсэн нийтийн хүртээмжЭнэ нь Lizard Squad нэртэй хакерын бүлэглэлийн бүтээсэн DDoS халдлага хийх хэрэгсэл болох LizardStresser-ийн эх код болж хувирав. Ажиллуулахын тулд ботнет татаж аваарай DDOS халдлагаӨнөөдөр ямар ч сургуулийн хүүхэд боломжтой (дэлхийн мэдээллийн хэрэгслүүдийн мэдээлснээр тэд үүнийг аль хэдийн хийж байна).

Татаж авах боломжтой, хэрэглэхэд хялбар LizardStresser код нь DDoS халдлага хийх зарим нарийн төвөгтэй аргуудыг агуулдаг: TCP холболтыг нээлттэй байлгах, TCP порт эсвэл UDP порт руу санамсаргүй хэрэггүй мөр илгээх, эсвэл өгөгдсөн тугийн утгуудаар TCP пакетуудыг дахин илгээх. Хортой програм нь бүрхүүлийн командуудыг санамсаргүй байдлаар эхлүүлэх механизмыг агуулсан бөгөөд энэ нь LizardStresser-ийн шинэчилсэн хувилбаруудыг шинэ командууд болон хяналтанд байгаа төхөөрөмжүүдийн шинэчилсэн жагсаалтыг татаж авах, түүнчлэн халдвар авсан төхөөрөмж дээр бусад хортой програм суулгахад маш их хэрэгтэй байдаг. Түүнээс хойш бусад нь эх код хортой програмботнетийг зохион байгуулах, хянах, түүний дотор юуны түрүүнд гэмт хэргийн үйл ажиллагаа эхлэхэд "өндөр технологийн саад тотгор" -ыг эрс бууруулж, үүний зэрэгцээ ашиг олох, уян хатан байдлыг нэмэгдүүлэх боломжийг нэмэгдүүлсэн Мирай програм хангамж. ботнет ашиглах.

Интернэт зүйлс (IoT) хэрхэн ботнет үүсгэх Клондайк болсон

Халдвар авсан төхөөрөмжүүдийн тоо болон халдлагын үед үүсгэсэн траффикийн хувьд хамгаалалтгүй IoT төхөөрөмжүүдийг их хэмжээгээр ашиглах нь тэсрэх нөлөө үзүүлж, урьд өмнө хэзээ ч байгаагүй өргөн цар хүрээтэй ботнет үүсэхэд хүргэсэн. Жишээлбэл, 2016 оны зун, Рио-де-Жанейро хотод болсон Олимпийн наадмын өмнө болон тэр даруйд үндсэн дээр бий болсон ботнетуудын нэг. програмын код LizardStresser нь үндсэндээ 10,000 орчим халдвартай IoT төхөөрөмжийг (үндсэндээ вэбкамерууд) ашигласан бөгөөд оргил үедээ 540 Гбит/с хүрч, 400 Гбит/с дээш хүч чадалтай олон тооны, тасралтгүй DDoS халдлага үйлдэв. Тооцооллын дагуу анхны Mirai ботнет нь дэлхий даяар 500 мянга орчим IoT төхөөрөмжийг эвдэж чадсан гэдгийг бид бас тэмдэглэж байна.

Эдгээр халдлагаас хойш олон үйлдвэрлэгчид зарим өөрчлөлтийг хийсэн ч ихэнх IoT төхөөрөмжүүд нь үндсэн хэрэглэгчийн нэр, нууц үгийн тохиргоо эсвэл аюулгүй байдлын сул талуудтай байдаг. Үүнээс гадна, цаг хугацаа, мөнгөө хэмнэхийн тулд зарим үйлдвэрлэгчид янз бүрийн ангиллын төхөөрөмжүүдэд ашигладаг техник хангамж, програм хангамжийг үе үе олшруулдаг. Үүний үр дүнд анхны төхөөрөмжийг удирдахад ашигладаг анхдагч нууц үгийг огт өөр олон төхөөрөмжид хэрэглэж болно. Тиймээс олон тэрбум хамгаалалтгүй IoT төхөөрөмжийг аль хэдийн байрлуулсан байна. Тэдний тооны урьдчилан тооцоолсон өсөлт (бага зэрэг) удааширч байгаа хэдий ч ойрын ирээдүйд "аюултай" IoT төхөөрөмжүүдийн дэлхийн флотын өсөлт нь цочирдохоос өөр аргагүй юм (доорх графикийг харна уу).

Олон IoT төхөөрөмжүүд нь эрүүгийн ботнетийн нэг хэсэг болгон зөвшөөрөлгүй ашиглахад тохиромжтой, учир нь:

• Ихэнх тохиолдолд тэд удирдах боломжгүй, өөрөөр хэлбэл гаднаас зохих хяналтгүйгээр ажилладаг. системийн админ, энэ нь тэднийг нэргүй прокси болгон ашиглах нь маш үр дүнтэй болгодог.
• Ихэвчлэн тэд 24x7 онлайн байдаг бөгөөд энэ нь ямар ч үед халдлагад өртөх боломжтой бөгөөд дүрмээр бол ямар ч хязгаарлалтгүй гэсэн үг юм. зурвасын өргөнэсвэл замын хөдөлгөөний шүүлтүүр.
• Тэд ихэвчлэн Линукс гэр бүлд суурилсан үйлдлийн системийн задалсан хувилбарыг ашигладаг. Мөн ARM/MIPS/x86 голчлон өргөн хэрэглэгддэг архитектурт зориулж ботнетийн хортой программыг хялбархан хөрвүүлж болно.
• тайрсан үйлдлийн системавтоматаар мэдээлэх зэрэг аюулгүй байдлын боломжууд багасдаг тул ихэнх аюулыг эдгээр төхөөрөмжийн эзэмшигчид анзаардаггүй.

Орчин үеийн ботнет гэмт хэргийн дэд бүтцийн хүчийг ойлгоход туслах сүүлийн үеийн өөр нэг жишээ энд байна: 2017 оны 11-р сард Necurs ботнет нь Scarab ransomware вирусын шинэ омгийг илгээсэн. Бүх нийтийн кампанит ажлын үр дүнд 12.5 сая орчим халдвартай цахим шуудан илгээсэн бөгөөд өөрөөр хэлбэл түгээлтийн хурд цагт 2 сая гаруй имэйл байв. Дашрамд дурдахад, ижил ботнет нь Dridex болон Trickbot банкны троянууд, мөн Locky, Jans ransomware вирусуудыг тарааж байсан.

дүгнэлт

Сүүлийн жилүүдэд илүү боловсронгуй, уян хатан ботнетийн хортой программ хангамжийн өндөр хүртээмжтэй, ашиглахад хялбар байдал, хамгаалалтгүй IoT төхөөрөмжүүдийн тоо мэдэгдэхүйц нэмэгдэж байгаа нь гэмт хэргийн ботнетийг өсөн нэмэгдэж буй дижитал далд эдийн засгийн гол бүрэлдэхүүн хэсэг болгож байна. Энэ эдийн засагт хууль бус мэдээлэл, хөлсний үйлчилгээ үзүүлэх, тэр ч байтугай өөрийн мөнгөн тэмдэгтийн эсрэг тодорхой зорилтот эсрэг хорлонтой үйлдэл хийх зах зээл байдаг. Шинжээчид болон аюулгүй байдлын мэргэжилтнүүдийн бүх таамаглал нь маш их урам хугарсан сонсогдож байна - ойрын ирээдүйд хууль бус ашиг олохын тулд ботнетийг буруугаар ашиглах нөхцөл байдал улам дордох болно.

Мөнхийн гаж донтон Антон Кочуков.

Интернэт зүйлсийн нэр хүнд, цар хүрээ өсөн нэмэгдэж байгаа тул түүний төхөөрөмжийг халдагчид хамгийн хүчирхэг кибер халдлагыг зохион байгуулах платформ болгон ашиглаж эхэлсэн. Ийм төхөөрөмжтэй холбоотой аюулгүй байдлын өндөр түвшний ослын ноцтой байдал, тоо нь орчин үеийн аюулгүй байдлын гинжин хэлхээний хамгийн сул холбоос гэдгийг харуулж байна. компьютерийн сүлжээнүүд. Хэдийгээр эд зүйлсийн интернетийн ихэнх субьектүүдийн тооцоолох чадвар нь PC-ийн чадвараас хол байгаа боловч түүний дутагдлыг нэг бүхэл болгон нэгтгэсэн төхөөрөмжүүдийн тоогоор нөхдөг. Тэд бүгд сүлжээнд байнга холбогддог бөгөөд ихэвчлэн үйлдвэрийн тохиргоонд ажиллаж байхдаа жигнэмэгийн амттай амттан болдог. IoT төхөөрөмжүүдийн асар их тоо, өргөн тархалт, сул хамгаалалт нь DDoS халдлагыг эхлүүлэхэд идэвхтэй ашигладаг олон халдагчдыг аль хэдийн татсан.

"Ирээдүй" аль хэдийн энд байна

Сүүлийн үеийн алдартай жишээ бол Мирай ботнет (японоор "ирээдүй" гэсэн утгатай. - Анхаарна уу. ed.), анх 2016 оны 8-р сард MalwareMustDie судалгааны баг нээсэн. Хортой програм өөрөө болон түүний олон хувилбарууд болон дуурайгчид нь мэдээллийн технологийн салбарын түүхэн дэх хамгийн хүчтэй DDoS халдлагын эх үүсвэр болсон.

2016 оны 9-р сард зөвлөхийн вэбсайт дээр компьютерийн аюулгүй байдалБрайан Кребс 620 Гб / сек хурдтай траффик хүлээн авч эхэлсэн нь ихэнх сайтууд амжилтгүй болсон түвшингээс хамаагүй өндөр захиалга юм. Ойролцоогоор тэр үед илүү хүчтэй Mirai DDoS халдлага (1.1 Tbps) Францын вэб хостинг үйлчилгээ үзүүлэгч OVH-ийг цохив. үүлэн үйлчилгээ. Удалгүй хортой програмын эх кодыг нийтэлсэн бөгөөд үүний дараа халдагчид 400,000 хүртэлх төхөөрөмжийг багтаасан ботнетуудыг түүн дээр үндэслэн түрээсэлж эхэлжээ. Mirai-ийн цуврал халдлага 2016 оны 10-р сард үйлчилгээ үзүүлэгч Dyn-ийн эсрэг зохион байгуулсан нь Twitter, Netflix, Reddit, GitHub зэрэг олон зуун сайтыг хэдэн цагийн турш идэвхгүй болгосон юм.

Mirai ихэвчлэн BusyBox-ын нэг хувилбарыг ажиллуулж байгаа вэбкамер, DVR, чиглүүлэгч гэх мэтийг эхлээд халдварласнаар тархдаг. Дараа нь уг хортой програм нь ерөнхий үйлдвэрлэгчдийн жижиг толь бичгийг ашиглан бусад IoT төхөөрөмжүүдийн захиргааны итгэмжлэлийг олж авдаг. сүлжээний төхөөрөмжүүд"нэр-нууц үг"-ийг хослуулна.

Улмаар Мирай мутаци нь өдөр бүр шууд утгаараа илэрч эхэлсэн бөгөөд тэдгээр нь анхныхтай ижил аргыг ашиглан нөхөн үржих, хохирол учруулах чадвараа хадгалж үлдсэн нь IoT төхөөрөмж үйлдвэрлэгчдийг хамгаалах хамгийн энгийн аргуудыг ужиг орхиж байгааг харуулж байна. Хачирхалтай нь, ийм төхөөрөмжөөс үүссэн ботнетууд нь тэдгээрт суурилсан улам бүр боловсронгуй халдлага нь интернетийн бүх дэд бүтцийг сүйтгэх эрсдэлтэй байдаг ч судалгаа багатай байдаг.

Мирай хэрхэн ажилладаг

Мирай зорилтот серверүүдийн эсрэг DDoS халдлагыг эхлүүлж, найдвартай бус тохиргоотой IoT төхөөрөмжүүдээр идэвхтэй тархдаг.

Үндсэн бүрэлдэхүүн хэсгүүд

Mirai ботнет нь дөрвөн үндсэн бүрэлдэхүүн хэсэгтэй. Бот нь төхөөрөмжид халдварладаг хортой програм бөгөөд буруу тохируулагдсан төхөөрөмжүүдийн дунд "халдвар" тараадаг бөгөөд дараа нь botmaster-аас зохих тушаалыг хүлээн авснаар зорилтот сервер рүү халддаг. Команд ба хяналтын сервер нь ботнетийн статусыг шалгаж, шинэ DDoS халдлага эхлүүлэх интерфэйсийг ботмастерт өгдөг. Ботнетийн дэд бүтцийн элементүүдийн хоорондын харилцаа холбоог ихэвчлэн үл мэдэгдэгчээр дамжуулан гүйцэтгэдэг Tor сүлжээ. Ачаалагч нь шинэ хохирогчидтой шууд холбоо тогтоох замаар бүх техник хангамжийн платформд (нийт 18, ARM, MIPS, x86 гэх мэт) гүйцэтгэх боломжтой файлуудыг түгээдэг. Мэдээллийн сервер нь ботнет дэх бүх төхөөрөмжүүдийн мэдээллийн санг хадгалдаг бөгөөд шинээр халдвар авсан хостууд ихэвчлэн энэ сервертэй шууд харилцдаг.

Ботнет дэх үйл ажиллагаа, харилцааны схем

Мирай эхлээд 23 ба 2323 портуудыг санамсаргүй нийтийн IP хаягийг хайдаг. Зарим хаягийг хассан (төрийн байгууллагуудын анхаарлыг татахгүйн тулд байж магадгүй) - жишээлбэл, АНУ-ын шуудангийн газар, Пентагон, IANA, түүнчлэн General Electric, Hewlett-Packard-д харьяалагддаг. Зураг дээр. 1 нь ботнет дэх үйл ажиллагаа, өгөгдөл солилцох үндсэн үе шатуудыг харуулж байна.

1-р шат.Бот нь үйлдвэрийн тохиргоонд дахин тохируулагдаагүй IoT төхөөрөмжүүдийн итгэмжлэлийг гаргаж авах замаар харгис хүчний дайралт хийдэг. Mirai толь бичигт 62 боломжит хэрэглэгчийн нэр/нууц үг хос байна.

2-р шат.Ажиллаж буй итгэмжлэлүүдийг олж, тэдгээрт хандах хандалтыг олж авах тушаалын мөрэсвэл график Хэрэглэгчийн интерфэйсТөхөөрөмжийн хувьд робот өөрийн шинж чанарыг өөр портоор дамжуулан тайлангийн сервер рүү дамжуулдаг.

3-р шат.Ботмастер нь Tor-ээр дамжуулан тайлангийн сервертэй холбогдох замаар боломжит зорилтууд болон ботнетийн одоогийн төлөвийг тогтмол шалгадаг.

4-р шат.Халдвар авах эмзэг төхөөрөмжүүдийг сонгосны дараа ботмастер татаж авагчид шаардлагатай бүх мэдээлэл, түүний дотор IP хаяг, техник хангамжийн архитектурын талаарх мэдээлэл бүхий зохих тушаалуудыг өгдөг.

5-р шат.Татаж авагч нь эмзэг төхөөрөмж рүү нэвтэрч, холбогдох хортой програмыг татаж аваад ажиллуулахыг албаддаг. Ихэвчлэн TFTP протоколыг ашиглан GNU Wget хэрэглүүрийг ашиглан татаж авдаг. Хортой програмыг ажиллуулсны дараа Telnet болон SSH зэрэг халдвар байнга гардаг портуудыг хааж өрсөлдөгчдөөс өөрийгөө хамгаалахыг оролддог нь анхаарал татаж байна. Энэ үе шатанд шинээр үүсгэгдсэн ботын жишээ нь хяналтын сервертэй аль хэдийн холбогдож, халдлага эхлүүлэх командуудыг хүлээн авах боломжтой. Үүнийг гүйцэтгэх файлд хатуу кодлогдсон домэйн нэрийг шийдвэрлэх замаар хийдэг (Mirai-д анхдагч нь cnc.changeme.com). IP хаяг руу шууд хандахын оронд ашигладаг энэ арга нь хоёртын файл болон нэмэлт мэдээлэл солилцохгүйгээр удирдлагын серверийн IP хаягийг өөрчлөх боломжийг ботмастерт олгодог.

6-р шат.Ботмастер нь зорилтот серверийн эсрэг халдлага эхлүүлэхийг ботын бүх тохиолдлуудад зааварчилгаа ба удирдлагын серверээр дамжуулж, халдлагын төрөл, үргэлжлэх хугацаа, түүнчлэн серверийн өөрийн болон роботын IP хаягийг багтаасан тохирох параметрүүдийг дамжуулдаг. тохиолдлууд.

7-р шат.Ботууд нь ерөнхий чиглүүлэлтийн инкапсуляци, TCP болон HTTP протоколуудыг ашиглан үерлэх зэрэг боломжит арваад аргуудын аль нэгийг ашиглан бай руу довтолж эхэлдэг.

Мирагийн онцлог шинж чанарууд

Бусад ижил төрлийн хортой програмаас ялгаатай нь Мираи илрүүлэхээс зайлсхийхийг хичээдэггүй. Халдварын бараг бүх үе шатууд нь энгийн сүлжээний шинжилгээг ашиглан танигдах онцлог шинж чанартай байдаг: тодорхой портуудаар дамжуулан тодорхой итгэмжлэлүүдийг тоолох; тохируулсан тайлан илгээх; тодорхой хоёртын файлуудыг ачаалах; холболтыг хадгалахын тулд мессеж илгээх; онцлог бүтэцтэй удирдлагын командыг дамжуулах; халдлагын урсгалд санамсаргүй элементүүд бараг бүрэн байхгүй байх.

Зураг дээр. Зураг 2-т Mirai ачаалагч болон аль хэдийн халдвар авсан боловч халдлагад өртөөгүй байгаа IoT төхөөрөмж хоорондын харилцааны стандарт горимуудыг харуулав. Сеансуудын үргэлжлэх хугацаа нь харилцан адилгүй боловч пакетуудын төрөл, хэмжээ, мессежийн дараалал нь энэ хортой програмын халдварыг илтгэдэг хэв маягийг дагаж мөрддөг.

Мирай хувилбарууд

Mirai эх кодыг нийтлэх, сүлжээний харьцангуй чанга дуу чимээ нь үр дүнтэй таних, хамгаалах механизмыг хурдан бий болгоход хүргэсэн бололтой. Гэсэн хэдий ч ийм зүйл болоогүй: эх кодыг гаргаснаас хойш ердөө хоёр сарын дараа ботын тохиолдлын тоо хоёр дахин нэмэгдэж, 213 мянгаас 493 мянга болж, түүний олон тооны сорт гарч ирэв. Мирай-г нээснээс хойш жил гаруйн дараа ч гэсэн роботууд анх хэрэглэж байсантай ижил төрлийн төхөөрөмжийн сул тохиргоог ашигласан хэвээр байна.

Мирагийн халдварын ихэнх нь TCP 23 эсвэл 2323 портоор дамждаг боловч 2016 оны 11-р сард вирусын төрлүүд бусад портууд, тэр дундаа ISP-үүд ашигладаг 7547 портууд руу нэвтэрч байгааг илрүүлсэн. алсын удирдлагаүйлчлүүлэгч чиглүүлэгчид. Мөн сард Mirai-ийн эдгээр хувилбаруудын нэг нь Deutsche Telekom-ийн бараг сая захиалагчийг вэбэд нэвтрэх эрхгүй болгосон.

2017 оны 2-р сард Мирай хувилбарыг ашиглан Америкийн нэгэн коллежийн эсрэг 54 цагийн DDoS халдлага үйлдсэн. Дараагийн сард өөр нэг хувилбар гарч ирсэн бөгөөд энэ удаад биткойн олборлох байгууламжууд бий болсон ч IoT төхөөрөмжийг энэ зорилгоор ашиглах нь их хэмжээний орлого авчрах магадлал багатай гэж тооцоолсон.

Дөрөвдүгээр сард Mirai кодын баазыг ашиглан бүтээсэн өөр ботнет Персирай дээр үйл ажиллагаа эхэлсэн. Энэхүү зомби сүлжээг Trend Micro судлаачид нээсэн бөгөөд Перс болон Мирай гэсэн үгсийг нэгтгэж нэр өгсөн - эхнийх нь вирусыг Иранаас гаралтай гэх үндэслэлээр сонгосон. Энэ нь TCP порт 81 дээрх тодорхой үйлдвэрлэгчдийн вэбкамеруудын удирдлагын интерфэйс рүү нэвтрэхийг оролддог. Амжилттай бол UPnP-ийн эмзэг байдлыг ашиглан чиглүүлэгч рүү нэвтэрч, нэмэлт хоёртын файлуудыг татаж, ажиллуулж, устгадаг. Вирус нь камерын интерфэйс рүү нэвтрэхийн тулд итгэмжлэлүүдийг хүчлэхийн оронд 0 өдрийн алдааг ашиглан нууц үгийн файлыг шууд татаж авдаг. Тархсан DoS халдлага нь UDP протокол дээр үерлэх замаар хийгддэг. Тооцоолсноор Персирайд өртөмтгий 120,000 орчим төхөөрөмж вэб дээр байсан.

Бусад IoT ботнетууд

найдаж байна үндсэн зарчимМирай шинэ хортой програмыг бүтээгчид зомби сүлжээнүүдийн хүчийг нэмэгдүүлэх, үйл ажиллагааг далдлахын тулд бусад илүү боловсронгуй механизмуудыг ашиглаж эхэлжээ.

2016 оны 8-р сард MalwareMustDie-ийн судлаачид Луа скрипт хэлийг ашиглан бүтээсэн IoT-д суурилсан анхны ботнетийн талаар мэдээлсэн. Ботнетийн армийн ихэнх хэсэг нь Линукс дээр ажилладаг ARM процессортой кабелийн модемуудаас бүрддэг байв. Хортой програмтай нарийн төвөгтэй функцууд- жишээлбэл, хяналтын сервертэй шифрлэгдсэн өгөгдөл солилцох суваг үүсгэж, халдвар авсан төхөөрөмжүүдийг өрсөлдөгчдөөс хамгаалах тусгай iptables дүрмийг тогтоодог.

Rapidity Networks компани 2016 оны 10-р сард илрүүлсэн Hajime ботнет нь Мирайтай төстэй халдварын аргыг ашигладаг. Гэхдээ төвлөрсөн архитектурын оронд Hajime нь BitTorrent Distributed Hash Tag (DHT) протоколыг ашиглан үе тэнгийнхнээ (үе тэнгийн сүлжээний хэрэглэгчид) олж илрүүлэхийн тулд тархсан холбооны системд тулгуурлаж, мэдээлэл солилцохдоо uTorrent тээврийн протоколыг ашигладаг. Бүх мессежийг RC4 протокол ашиглан шифрлэдэг. Одоогоор Хажиме өөрийгөө баталж чадаагүй байна сөрөг талэсрэгээр, энэ нь Мирай зэрэг ботнетуудын ашигладаг IoT төхөөрөмжүүдийн эмзэг байдлын эх үүсвэрийг шийдэж, үүнийг зарим "Робин Гуд" бүтээсэн гэж үзэхэд хүргэдэг. Гэсэн хэдий ч ботнетийн жинхэнэ зорилго нь нууц хэвээр байна.

Mirai шиг BusyBox программ хангамжийг халдварладаг BrickerBot ботнетийг Radware-ийн мэргэжилтнүүд 2017 оны 4-р сард илрүүлсэн. Өгөгдмөл SSH итгэмжлэлүүд, түүнчлэн буруу тохируулга болон мэдэгдэж буй сул талуудыг ашиглан тус хортой програм нь IoT төхөөрөмжүүдийн эсрэг үйлчилгээ үзүүлэхээс татгалзах (PDoS) халдлага хийхийг оролддог бөгөөд энэ нь дахин тохируулга хийх эсвэл тоног төхөөрөмжийг солиход хангалттай юм. BrickerBot нь төхөөрөмжийн програм хангамжийг гэмтээж, тэдгээр дээрх файлуудыг устгаж, сүлжээний тохиргоог өөрчилдөг.

Хичээлүүд

Mirai, түүний хувилбарууд болон ижил төстэй ботнетуудын халдлагын улмаас учирсан асар их хохирол нь IoT төхөөрөмжүүдийн учирч болох эрсдэлийг тодорхой харуулсан. World Wide Web. Өнөөдөр нэлээд энгийн вирусууд ийм төхөөрөмжийг удирдаж, "зомби" -ын асар их сүйрлийн арми бий болгож байна. Үүний зэрэгцээ халдагчид ботуудын тоог өсгөх энгийн байдалд татагддаг. IoT төхөөрөмжүүд нь ботнет үүсгэхэд онцгой ач тустай байдаг таван үндсэн шалтгаан бий.

1. Тогтмол, саадгүй үйл ажиллагаа.Ихэнхдээ асдаг, унтраадаг зөөврийн компьютер болон ширээний компьютерээс ялгаатай нь олон IoT төхөөрөмж (вэб камер, Wi-Fi чиглүүлэгчид) цаг наргүй ажилладаг бөгөөд эзэд нь ихэвчлэн халдварт өртөмтгий биш төхөөрөмж гэж үздэг.
2. Хамгаалалт дутмаг. IoT зах зээлд нэвтрэх гэж яарч байгаа олон төхөөрөмж үйлдвэрлэгчид аюулгүй байдал, ашиглахад хялбар байдлыг үл тоомсорлож байна.
3. Хяналт дутмаг.Ихэнх IoT төхөөрөмжүүдийг "түүнийг тохируулаад март" гэсэн зарчмаар ашигладаг - эхний тохиргооны дараа системийн администраторууд зөв ажиллахаа больсон тохиолдолд л тэдэнд анхаарал хандуулах боломжтой.
4. Гайхалтай дайралтын урсгал. IoT төхөөрөмжүүд нь өнөөдрийн ширээний компьютер шиг хүчирхэг DDoS халдлагын урсгалыг бий болгоход хангалттай хүчирхэг бөгөөд сайн байрлалтай.
5. Интерактив бус эсвэл хамгийн бага интерактив хэрэглэгчийн интерфейс. IoT төхөөрөмжүүд нь ихэвчлэн хэрэглэгчийн хамгийн бага оролцоо шаарддаг тул халдвар нь илрэхгүй байх магадлалтай. Гэхдээ энэ нь анзаарагдсан ч хэрэглэгчдэд хүрдэггүй энгийн аргуудтөхөөрөмжийг биечлэн солихоос бусад хортой програмыг устгах.

IoT төхөөрөмжөөр хийгдсэн DDoS халдлага гарч ирэхийг эртнээс урьдчилан таамаглаж байсан бөгөөд өнөөдөр Мирайгийн улам боловсронгуй хувилбарууд болон дуураймалуудын тоо аймшигтай хурдацтай нэмэгдэж байна. Ийм хортой програм нь ихэвчлэн олон платформ дээр ажиллах чадвартай бөгөөд нөөц бага зарцуулдгаараа онцлогтой бөгөөд хамгийн бага агуулгатай байж болно. санамсаргүй хандалт санах ой. Нэмж дурдахад, халдвар авах үйл явц нь харьцангуй энгийн бөгөөд ямар ч эмзэг төхөөрөмжийг байнга дахин ачаалдаг байсан ч зомби болгоход нэр дэвшигч болгодог. Өнөө үед байгаа ихэнх IoT хортой программыг илрүүлэх, шинжлэхэд хялбар байдаг ч шинэ роботууд улам нууцлагдмал болж байна.

Ихэвчлэн DDoS халдлагын ихэнх хариуцлагыг хэрэглэгчид өөрсдөө болон энгийн урьдчилан сэргийлэх арга хэмжээг үл тоомсорлодог системийн администраторууд хариуцдаг. Гэсэн хэдий ч IoT ботнетийн хувьд бүх хариуцлага нь үйлдвэрийн тохиргоотой хамгаалалт муутай бүтээгдэхүүн үйлдвэрлэдэг үйлдвэрлэгчдэд ногддог. алсаас хандах. Нэмж дурдахад зөвхөн IoT төхөөрөмж үйлдвэрлэгчид халдвараас хамгаалахын тулд хувийн аюулгүй байдлын шинэчлэлтүүдийг автоматаар өгөх боломжтой. IoT төхөөрөмжүүд сүлжээнд өөрийгөө зохицуулдаг тул нууц үгийг байнга солих гэх мэт уламжлалт гарын авлагын аюулгүй байдлын аргуудыг IoT төхөөрөмжүүдэд ашиглах боломжгүй. Тиймээс өнөөдөр зүйлсийн интернетийг шаарддаг техникийн хэрэгсэлаюулгүй байдлын хяналт, бүх борлуулагчид дагаж мөрдөх ёстой төхөөрөмжийг хамгаалах найдвартай стандартууд.

Жеффри Воас ( [имэйлээр хамгаалагдсан]) нь IEEE-ийн гишүүн юм.

Константинос Колиас, Георгиос Камбуракис, Анжелос Ставру, Жефри Воас, IoT дахь DDoS: Мирай болон бусад ботнетууд. IEEE Computer, 2017 оны 7-р сар, IEEE Computer Society. Бүх эрх хуулиар хамгаалагдсан. Зөвшөөрөлтэйгээр дахин хэвлэв.

Өнгөрсөн сард гэх мэт томоохон сайтууд руу халдлага гарсан Twitterэсвэл тэднийг түр идэвхгүй болгосон Spotify. Үүний тулд ботнет ашигласан. Мирай, Интернетийн 400-500 мянган төхөөрөмжийг нэгтгэдэг. Одоо эх хавтангийн сэтгүүлчид хоёр хакер ботнетийн хяналтыг булаан авч, түүний шинэ хувилбарыг бүтээж чадсаныг олж мэдсэн - энэ нь аль хэдийн сая төхөөрөмжийг нэгтгэсэн. Түүний хүчийг Германы үйлчилгээ үзүүлэгчийн захиалагчид мэдэрсэн Deutsche TelekomӨнгөрсөн амралтын өдөр сүлжээ нь тасарсан .

Мирай ан хийж байна

Сэтгүүлчид эдгээр хоёр нууцлаг хакерын нэгтэй ярилцаж чадсан - тэр BestBuy хоч ашигладаг. Шифрлэгдсэн онлайн чатдаа тэрээр Мирайг хянахын тулд хакеруудын дунд жинхэнэ тэмцэл өрнөсөн гэж хэлэв. Саяхан түүний програм хангамжид нэг эмзэг байдал илэрсэн байна. Үүнийг хурдтай хослуулан ашиглах нь BestBuy болон түүний түнш Popopret-д ботнетийн ихэнх хэсгийг хянаж, шинэ төхөөрөмжөөр баяжуулах боломжийг олгоно.

Өмнө нь манай мэргэжилтнүүд Mirai ботнетийн кодыг судалж үзсэн бөгөөд энэ нь IoT төхөөрөмжүүдэд тусгайлан бүтээгдээгүй болох нь тогтоогдсон. Хортой програм хангамж нь анхдагч нэвтрэх болон нууц үг (админ: админ, root: нууц үг гэх мэт) ашиглан сүлжээнд холбогдсон төхөөрөмжүүдийг хайдаг. Энэ нь онолын хувьд гэрийн компьютер, сервер эсвэл чиглүүлэгч гэх мэт ямар ч төхөөрөмжийг багтааж болно гэсэн үг юм.

IoT төхөөрөмжүүд- ихэвчлэн чиглүүлэгчид - нэг хэсэг юм ботнет Мирайдахин ачаалах хүртэл - дараа нь өт нь тэдний санах ойноос арчигддаг. Гэсэн хэдий ч ботнет нь эмзэг төхөөрөмжүүдийг интернетэд байнга скан хийдэг бөгөөд ингэснээр "эмчлэгдсэн" төхөөрөмж дахин түүний нэг хэсэг болж чадна. Хакеруудын дунд аль болох олон төхөөрөмжийг хамгийн түрүүнд халдварлах жинхэнэ уралдаан болж байна.

Шинэ Мирайг бүтээгчид хэрхэн өрсөлдөгчөө гүйцэж түрүүлсэн тухай мэдээлэл алга. Гэсэн хэдий ч тэд өмнө нь ботнетэд багтаж байсан эмзэг төхөөрөмжүүдийг сканнердахдаа өөрсдийн ботнет ашиглаж байгаагаа сэтгүүлчдэд мэдэгдэв.

"Яагаад Мирайг Мирайг агнаж, эхийг нь идэж болохгүй гэж" гэж BestBuy хэлэв.

Зөвхөн Мирай биш

Гэсэн хэдий ч шинэ ботнет нь зөвхөн Mirai-ийн хуучин төхөөрөмжүүд болон анхдагч нууц үгтэй шинэ төхөөрөмжүүдийг залгиад зогсохгүй. Үүнийг бүтээгчид мөн IoT төхөөрөмжүүдийн програм хангамжийн 0 өдрийн эмзэг байдлыг ашигладаг. Мэргэжилтнүүд өмнө нь ийм "хосолсон" ботнетүүд удахгүй гарч ирэхийг урьдчилан таамаглаж байсан.

Тэдэнтэй тэмцэх нь мэдэгдэхүйц төвөгтэй болж байна - хэрэв эцсийн төхөөрөмжийн хэрэглэгч зөвхөн Мирайтай нүүр тулахын тулд хэрэглэгчийн нэр, нууц үгээ солих шаардлагатай бол тэр гаджетын эмзэг байдлыг өөрөө даван туулж чадахгүй.

700 Gbps хурдтай DDoS

BestBuy болон Popopret хакерууд өөрсдийн үйлчилгээг сурталчилж эхэлсэн бөгөөд тэд өөрсдийн үйлчилгээг авах боломжийг санал болгож байна шинэ хувилбарМирай XMPP/Jabber-ээр спам мессеж илгээж байна.

Хакерын хэлснээр тэд үйлчлүүлэгчдэд хэд хэдэн үйлчилгээний багц санал болгодог. Илүү хямд үнэ $2 000 - Энэ мөнгөний төлөө үйлчлүүлэгчид түрээслэх боломжтой 20,000-аас 25,000 хүртэлботнетийн зангилаанууд нь халдлага хоорондын завсарлагатайгаар арван таван минутын завсарлагатайгаар хоёр долоо хоног хүртэлх хугацаанд харуулуудыг ажиллуулдаг. Ард нь $15 000 эсвэл $20 000 Үйлчлүүлэгчид 30 эсвэл 15 минутын завсарлагатайгаар хоёр цагийн дайралт хийх 600,000 робот ашиглах боломжтой болсон. Хоёр дахь тохиолдолд довтолгооны хүч байх болно 700 Gbpsболон түүнээс дээш.

хэтийн төлөв

Аюулгүй байдал IoT төхөөрөмжүүдЭнэ нь ихэвчлэн бага түвшинд байдаг - энэ нь борлуулагчид нэмэлт арга хэмжээ авах сонирхолгүй байдагтай холбоотой юм. мэдээллийн нууцлал. Тэд бүтээгдэхүүнээ ашиглахад хялбар байдлыг сурталчилж, мэдээллийн аюулгүй байдлын бүх нэмэлт арга хэмжээ нь хязгаарлалт тавьж, нөөц шаарддаг.

Дээр дурдсанчлан, зөвхөн эцсийн төхөөрөмж хөгжүүлэгчид эсвэл тэдгээрийг хангадаг үйлчилгээ үзүүлэгчид (чиглүүлэгчийн хувьд) хэрэглэгчдийг илүү дэвшилтэт ботнетээс хамгаалах боломжтой. Mirai-ийн шинэ хувилбарт нэрвэгдсэн Германы ISP Deutsche Telekom эмзэг чиглүүлэгч нийлүүлэгчидтэй "бизнесийн харилцаагаа эргэн харах" болно гэдгээ аль хэдийн зарласан. хурдны боомт, компани Аркадян.

Эцсийн дүндээ нэг талаас үйлчилгээ үзүүлэгчдийн төхөөрөмжид илүү хатуу хяналт тавих, нөгөө талаас IoT-ийн стандарт, зохицуулалтын баримт бичгийг боловсруулснаар эд зүйлсийн интернетийн аюулгүй байдлын түвшинг нэмэгдүүлэх боломжтой болно. APCS-ийн аюулгүй байдлыг хангах үүднээс ижил төстэй арга хэмжээг олон улс оронд аль хэдийн авч хэрэгжүүлсэн. Энэ чиглэлийн эхний алхмууд аль хэдийн хийгдсэн - жишээлбэл, мэдээллийн технологийн хэд хэдэн борлуулагчид есдүгээр сард гарчигтай баримт бичгийг нийтэлсэн. Аж үйлдвэр интернетийн аюулгүй байдалХүрээ (IISF)- Эд зүйлсийн интернетийг "үйлдвэрлэлийн интернет"-ийн нэг хэсэг гэж үзэхийг санал болгож байна.

Гэсэн хэдий ч, асуудлын эцсийн шийдэл нь хакерууд хол хэвээр байна Best Buy болон Popopretтом дээр монополь авах боломжтой DDoS халдлагаонлайн. Энэ бол нэлээд гунигтай баримт боловч хулгайч нар өөрсдөө ярилцаж байхдаа эх самбарүйл ажиллагаандаа ашиг хонжоо төдийгүй ёс суртахууны зарчмуудыг баримтална гэж тунхаглав. Тиймээс BestBuy нь чухал дэд бүтэцтэй ажилладаг компаниудын IP хаяг руу халдахыг үйлчлүүлэгчид зөвшөөрөхгүй гэдгээ мэдэгдэв.

Хамгийн алдартай, өргөн тархсан хоёр IoT ботнет болох Mirai болон Gafgyt нар "үржсээр" байна. Корпорацын салбарт чиглэсэн эдгээр хортой програмын шинэ хувилбарууд олдсон. Эдгээр кибер аюулын гол аюул нь сайн зохион байгуулалттай, хангалттай хүчтэй DDoS халдлагад оршдог.

Эдгээр хоёр хортой програмын тархалтын шалтгаан нь нэгтгэсэнд оршдог эх кодхэдэн жилийн өмнө олны хүртээл болсон. Шинэхэн кибер гэмт хэрэгтнүүд түүн дээр үндэслэн хорлонтой программуудаа тэр дор нь зохион бүтээж эхлэв.

Ихэнх тохиолдолд халдагчдын чадваргүй байдлаас болж Мирай, Гафгит клонууд нь ямар ч ноцтой төслийг төлөөлдөггүй бөгөөд тэдний чадавхид мэдэгдэхүйц өөрчлөлт оруулаагүй болно.

Гэсэн хэдий ч ботнетийн хамгийн сүүлийн хувилбарууд нь халдвар авах хандлагатай байгааг харуулж байна корпорацийн төхөөрөмжүүд. 42-р нэгжийн тайланд тушаалууд Пало Альто сүлжээ, шинэ Mirai болон Gafgyt дээжүүд нь хуучин сул талуудыг ашигладаг хэд хэдэн шинэ мөлжлөгүүдийг өөрсдийн зэвсэглэлд нэмсэн гэж ярьдаг.

Мирай одоо засвар хийгдээгүй Apache Struts ажиллаж байгаа системүүд рүү дайрч байна (өнгөрсөн жил ийм байдлаар хакерджээ). CVE-2017-5638-ийн алдааны нөхөөс нь нэг жил гаруйн хугацаа өнгөрч байгаа ч мэдээжийн хэрэг хүн бүр суулгацаа шинэчилсэнгүй.

Мирагийн нийт дүн Энэ мөч 16 мөлжлөгийн ихэнх нь чиглүүлэгч, NVR болон төрөл бүрийн камер зэрэг төхөөрөмжүүдийг эвдэх зорилготой юм.

Gafgyt (баслит гэж нэрлэдэг) нь саяхан илрүүлсэн CVE-2018-9866 эмзэг байдалд чиглэсэн бизнесийн тоног төхөөрөмж рүү халддаг. Энэхүү аюулгүй байдлын ноцтой дутагдал нь Глобал Удирдлагын Системийн (GMS) дэмжигдээгүй хувилбаруудад нөлөөлдөг SonicWall. 42-р ангийн судлаачид модуль хэвлэгдсэнээс хойш долоо хоног хүрэхгүй хугацааны дараа буюу 8-р сарын 5-нд шинэ дээжийг бүртгэсэн. Метасплоитэнэ эмзэг байдлын төлөө.

Gafgyt-ийн нөлөөлөлд өртсөн төхөөрөмжүүд нь бусад техник хангамжийг янз бүрийн төрлийн аюулгүй байдлын асуудлыг сканнердахаас гадна мэдэгдэж буй мөлжлөгт халдлага хийх боломжтой. Энэхүү хортой программыг хийж болох өөр нэг төрлийн халдлага нь Blacknurse бөгөөд энэ нь CPU-ийн хэрэглээнд ихээхэн нөлөөлдөг ICMP халдлага бөгөөд үйлчилгээнээс татгалзахад хүргэдэг.

Мэргэжилтнүүд эдгээр хоёр шинэ ботнетийн хувилбаруудыг нэг домэйнд байршуулсан болохыг олж мэдсэн. Энэ нь тэдний ард нөгөө л кибер гэмт хэрэгтэн эсвэл тэдний бүлэглэл байгааг нотолж байна.

Өнгөрсөн сарын сүүлээр бид мэдээлсэн. Ийм мэдээллийг 2018 оны 7-р сарын Global Threat Index тайланд тусгасан болно.

Мөн энэ сард хууль сахиулах байгууллага Мирайн хамгийн алдартай хүлээн авагчдын нэг болох Саторигийн ард хэн болохыг илрүүлжээ. Одоогоор кибер гэмт хэрэгтнийг буруутгаж байгаа нь тогтоогдсон.