Mạng botnet là gì? Khi quân đội của các thiết bị IoT bị nhiễm tấn công

Ngày Đăng : Tuesday, July 02, 2019

Việc kiểm soát hàng ngàn hoặc thậm chí hàng triệu thiết bị giúp kẻ tấn công mạng chiếm ưu thế trong việc cung cấp phần mềm độc hại hoặc thực hiện một cuộc tấn công DDoS.

Mạng botnet là gì? Khi quân đội của các thiết bị IoT bị nhiễm tấn công

Định nghĩa mạng

Botnet là một tập hợp các thiết bị kết nối internet mà kẻ tấn công đã xâm phạm. Botnet hoạt động như một hệ số nhân cho các kẻ tấn công cá nhân, các nhóm tội phạm mạng và các quốc gia muốn phá vỡ hoặc đột nhập vào hệ thống của mục tiêu. Thường được sử dụng trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS) , các botnet cũng có thể tận dụng sức mạnh tính toán tập thể của chúng để gửi khối lượng lớn thư rác, đánh cắp thông tin quy mô hoặc theo dõi người dân và tổ chức.

Các tác nhân độc hại xây dựng botnet bằng cách lây nhiễm các thiết bị được kết nối bằng phần mềm độc hại và sau đó quản lý chúng bằng máy chủ chỉ huy và kiểm soát. Khi kẻ tấn công đã xâm phạm một thiết bị trên một mạng cụ thể, tất cả các thiết bị dễ bị tấn công trên mạng đó đều có nguy cơ bị lây nhiễm.

Một cuộc tấn công botnet có thể tàn phá. Năm 2016, botnet Mirai đã đóng cửa một phần lớn internet, bao gồm Twitter, Netflix, CNN và các trang web lớn khác, cũng như các ngân hàng lớn của Nga và toàn bộ đất nước Liberia. Mạng botnet đã lợi dụng các thiết bị internet (IoT) không bảo mật như camera an ninh, cài đặt phần mềm độc hại sau đó tấn công các máy chủ DYN định tuyến lưu lượng truy cập internet. Đồ họa dưới đây từ Báo cáo Bot xấu năm 2019 của Distil Networks cung cấp tổng quan về các loại bot khác nhau có thể làm.

bot sẽ làm gì 300dpi

Ngành công nghiệp thức dậy, và các nhà sản xuất thiết bị, nhà quản lý, công ty viễn thông và nhà cung cấp cơ sở hạ tầng internet đã làm việc cùng nhau để cô lập các thiết bị bị xâm nhập, gỡ bỏ chúng hoặc vá chúng và đảm bảo rằng botnet sẽ không bao giờ được chế tạo lại.

Đùa thôi. Không có điều đó xảy ra. Thay vào đó, các botnet chỉ tiếp tục đến.

Ví dụ về các botnet đã biết

Đây chỉ là một số các botnet hoạt động được biết đến.

Mirai

Ngay cả botnet Mirai vẫn hoạt động. Theo báo cáo do Fortinet công bố vào tháng 8 năm 2018, Mirai là một trong các botnet hoạt động mạnh nhất trong quý hai năm đó.

[ Chuẩn bị để trở thành một chuyên gia hệ thống bảo mật thông tin được chứng nhận với khóa học trực tuyến toàn diện này từ PluralSight. Bây giờ cung cấp bản dùng thử miễn phí 10 ngày! ]
Kể từ khi phát hành mã nguồn hai năm trước, các botnet Mirai thậm chí đã thêm các tính năng mới, bao gồm khả năng biến các thiết bị bị nhiễm thành một loạt các proxy và tiền điện tử. Họ cũng tiếp tục bổ sung các khai thác nhắm mục tiêu cả các lỗ hổng đã biết và chưa biết, theo Fortinet.

Trên thực tế, tiền điện tử đang hiển thị như một sự thay đổi đáng kể trong vũ trụ botnet, Tony Giandomenico, nhà nghiên cứu và chiến lược bảo mật cao cấp của Fortinet nói. Nó cho phép kẻ tấn công sử dụng phần cứng máy tính và điện của nạn nhân để kiếm Bitcoin, Monero và các loại tiền điện tử khác. "Đó là điều lớn nhất mà chúng tôi đã trải qua trong vài tháng qua," ông nói. "Các kẻ xấu đang thử nghiệm làm thế nào chúng có thể sử dụng các botnet IoT để kiếm tiền."

Reaper (còn gọi là IoTroop)

Mirai chỉ là khởi đầu. Vào mùa thu năm 2017, các nhà nghiên cứu của Check Point cho biết họ đã phát hiện ra một mạng botnet mới, được biết đến với cái tên khác nhau là "IoTroop" và "Reaper", điều đó làm ảnh hưởng đến các thiết bị IoT với tốc độ thậm chí còn nhanh hơn Mirai. Nó có khả năng gỡ xuống toàn bộ internet một khi chủ sở hữu đưa nó vào hoạt động.

Mirai bị nhiễm các thiết bị dễ bị tổn thương sử dụng tên người dùng và mật khẩu mặc định. Reaper vượt xa điều đó, nhắm mục tiêu ít nhất chín lỗ hổng khác nhau từ gần một chục nhà sản xuất thiết bị khác nhau, bao gồm cả các người chơi lớn như D-Link, Netgear và Linksys. Nó cũng linh hoạt, trong đó các kẻ tấn công có thể dễ dàng cập nhật mã botnet để làm cho nó trở nên nguy hiểm hơn.

Theo nghiên cứu của Recorded Future , Reaper đã được sử dụng trong các cuộc tấn công vào các ngân hàng châu Âu trong năm nay, bao gồm ABN Amro, Rabobank và Ing.

Echobot

Được phát hiện vào đầu năm 2019, Echobot là một biến thể Mirai sử dụng ít nhất 26 khai thác để tự nhân giống. Giống như nhiều botnet khác, nó tận dụng các thiết bị IoT chưa được vá, nhưng cũng khai thác các lỗ hổng trong các ứng dụng doanh nghiệp như Oracle WebLogic và VMware SD-WAN.

Echobot được phát hiện bởi Palo Alto Networks và báo cáo về botnet kết luận rằng đây là một nỗ lực để hình thành các botnet lớn hơn để thực hiện các cuộc tấn công DDoS lớn hơn.

Emotet, Gamut và Necurs

Mục đích chính của ba botnet này là phun ra thư rác với khối lượng lớn để cung cấp một trọng tải độc hại hoặc khiến nạn nhân thực hiện một hành động nhất định. Mỗi loại dường như có đặc sản riêng, theo Email của Cisco : Nhấp với báo cáo Thận trọng .

Emotet có thể đánh cắp email từ hộp thư của nạn nhân, cho phép các kẻ tấn công tạo ra các thông điệp thuyết phục nhưng độc hại để đánh lừa người nhận. Kẻ tấn công cũng có thể sử dụng nó để đánh cắp thông tin đăng nhập SMTP, hữu ích để chiếm đoạt tài khoản email.

Gamut dường như chuyên về các email spam cố gắng thiết lập mối quan hệ với các nạn nhân. Điều này có thể ở dạng một cuộc hẹn hò hoặc lãng mạn, hoặc một lời mời làm việc giả mạo.

Necurs được biết là cung cấp ransomware và các cuộc tấn công tống tiền kỹ thuật số khác. Mặc dù nó đã không nhận được nhiều sự chú ý gần đây kể từ khi được phát hiện vào năm 2012, báo cáo của Cisco cho biết nó vẫn còn rất nhiều hoạt động và nguy hiểm.

Tại sao chúng ta không thể dừng botnet

Các thách thức trong việc tắt botnet bao gồm tính sẵn có rộng rãi và mua liên tục các thiết bị không an toàn, gần như không thể khóa các máy bị nhiễm khỏi internet và khó theo dõi và truy tố các người tạo botnet. Khi người tiêu dùng vào cửa hàng để mua camera an ninh hoặc thiết bị được kết nối khác, họ nhìn vào các tính năng, họ tìm kiếm các thương hiệu dễ nhận biết và quan trọng nhất là họ nhìn vào giá cả.

An ninh hiếm khi được xem xét hàng đầu. Ryan Spanier, giám đốc nghiên cứu của Kudelski Security cho biết: "Bởi vì [các thiết bị IoT] rất rẻ, nên khả năng có một kế hoạch bảo trì tốt và cập nhật nhanh là rất thấp".

Trong khi đó, khi mọi người tiếp tục mua các thiết bị giá rẻ, không an toàn, số lượng điểm cuối dễ bị tổn thương sẽ tiếp tục tăng lên. Công ty nghiên cứu IHS Markit ước tính rằng tổng số thiết bị được kết nối sẽ tăng từ gần 27 tỷ vào năm 2017 lên 125 tỷ vào năm 2030.

Spanier nói không có nhiều động lực để các nhà sản xuất thay đổi. Hầu hết các nhà sản xuất không phải đối mặt với hậu quả nào cả khi bán các thiết bị không an toàn. "Mặc dù điều đó bắt đầu thay đổi trong năm qua," ông nói. "Chính phủ Mỹ đã phạt một vài nhà sản xuất."

Ví dụ, FTC đã kiện D-Link vào năm 2017 vì bán các bộ định tuyến và camera IP có đầy đủ các lỗi bảo mật nổi tiếng và có thể phòng ngừa được như thông tin đăng nhập được mã hóa cứng. Tuy nhiên, một thẩm phán liên bang đã bác bỏ một nửa các khiếu nại của FTC vì FTC không thể xác định bất kỳ trường hợp cụ thể nào mà người tiêu dùng thực sự bị tổn hại.

Cách phát hiện botnet: Lưu lượng truy cập mục tiêu

Botnet thường được điều khiển bởi một máy chủ chỉ huy trung tâm. Về lý thuyết, việc gỡ bỏ máy chủ đó và sau đó theo lưu lượng truy cập trở lại các thiết bị bị nhiễm để dọn sạch chúng và bảo mật chúng sẽ là một công việc đơn giản, nhưng mọi thứ đều dễ dàng.

Khi botnet lớn đến mức ảnh hưởng đến internet, các ISP có thể kết hợp với nhau để tìm hiểu các gì đang xảy ra và hạn chế lưu lượng. Đó là trường hợp với botnet Mirai, Spanier nói. "Khi nó nhỏ hơn, giống như thư rác, tôi không thấy các ISP chăm sóc nhiều như vậy", anh nói. "Một số ISP, đặc biệt là người dùng gia đình, có cách để cảnh báo người dùng của họ, nhưng quy mô nhỏ đến mức sẽ không ảnh hưởng đến mạng botnet. Thật khó để phát hiện lưu lượng botnet. Mirai rất dễ dàng vì cách nó lan truyền, và các nhà nghiên cứu bảo mật đã chia sẻ thông tin nhanh nhất có thể. "

Các vấn đề về tuân thủ và quyền riêng tư cũng liên quan, Jason Brvenik, CTO tại NSS Labs, Inc., cũng như các khía cạnh hoạt động cho biết. Một người tiêu dùng có thể có một số thiết bị trên mạng của họ chia sẻ một kết nối, trong khi một doanh nghiệp có thể có hàng ngàn hoặc nhiều hơn. "Không có cách nào để cô lập thứ bị ảnh hưởng", Brvenik nói.

Botnet sẽ cố gắng ngụy trang nguồn gốc của chúng. Ví dụ, Akamai đã theo dõi một mạng botnet có địa chỉ IP được liên kết với các công ty Fortune 100 - địa chỉ mà nghi phạm Akamai có thể bị giả mạo.

Một số công ty bảo mật đang cố gắng làm việc với các nhà cung cấp cơ sở hạ tầng để xác định các thiết bị bị nhiễm. "Chúng tôi làm việc với Comcasts, Verizons, tất cả các ISP trên thế giới và nói với họ rằng các máy này đang nói chuyện với hố chìm của chúng tôi và họ phải tìm tất cả chủ sở hữu của các thiết bị đó và khắc phục chúng", Adam Meyers, VP nói. về trí thông minh tại CrowdStrike, Inc.

Điều đó có thể liên quan đến hàng triệu thiết bị, nơi ai đó phải ra ngoài và cài đặt các bản vá. Thông thường, không có tùy chọn nâng cấp từ xa. Nhiều camera an ninh và các cảm biến được kết nối khác ở các địa điểm xa. "Đó là một thách thức lớn để sửa chữa các điều đó," Meyers nói.

Ngoài ra, một số thiết bị có thể không còn được hỗ trợ hoặc có thể được xây dựng theo cách mà việc vá chúng thậm chí không thể thực hiện được. Các thiết bị thường vẫn đang thực hiện các công việc ngay cả sau khi chúng bị nhiễm bệnh, vì vậy chủ sở hữu không có động lực đặc biệt để vứt chúng đi và nhận các cái mới. "Chất lượng của video không đi xuống nhiều đến mức họ cần phải thay thế nó," Meyers nói.

Thông thường, chủ sở hữu của các thiết bị không bao giờ phát hiện ra rằng chúng đã bị nhiễm và là một phần của mạng botnet. "Người tiêu dùng không có kiểm soát bảo mật để giám sát hoạt động của botnet trên mạng cá nhân của họ", Chris Morales, người đứng đầu phân tích bảo mật tại Vectra Networks, Inc.

Các doanh nghiệp có nhiều công cụ hơn theo ý của họ, nhưng phát hiện các botnet thường không phải là ưu tiên hàng đầu, Morales nói. "Các nhóm bảo mật ưu tiên các cuộc tấn công nhắm vào tài nguyên của chính họ thay vì các cuộc tấn công phát ra từ mạng của họ đến các mục tiêu bên ngoài", ông nói.

Các nhà sản xuất thiết bị phát hiện ra lỗ hổng trong thiết bị IoT của họ mà họ không thể vá, nếu đủ động lực, có thể thu hồi, nhưng ngay cả khi đó, nó có thể không có nhiều tác dụng. "Rất ít người nhận được lệnh thu hồi trừ khi có vấn đề về an toàn, ngay cả khi có thông báo", Brvenik của NSS Labs nói. "Nếu có cảnh báo an ninh trên camera an ninh của bạn trên đường lái xe và bạn nhận được thông báo, bạn có thể nghĩ, Vậy thì, họ có thể thấy đường lái xe của tôi không?"

Làm thế nào để ngăn chặn các cuộc tấn công botnet

Hội đồng bảo đảm nền kinh tế kỹ thuật số (CSDE), hợp tác với Hội đồng công nghiệp công nghệ thông tin, USTelecom và các tổ chức khác, gần đây đã đưa ra một hướng dẫn rất toàn diện để bảo vệ các doanh nghiệp chống lại botnet. Dưới đây là các khuyến nghị hàng đầu.

Cập nhật, cập nhật, cập nhật

Botnet sử dụng các lỗ hổng chưa được vá để lây lan từ máy này sang máy khác để chúng có thể gây ra thiệt hại tối đa trong doanh nghiệp. Tuyến phòng thủ đầu tiên nên được cập nhật tất cả các hệ thống. CSDE khuyến nghị rằng các doanh nghiệp nên cài đặt các bản cập nhật ngay khi chúng có sẵn và nên cập nhật tự động.

Một số doanh nghiệp thích trì hoãn cập nhật cho đến khi họ có thời gian để kiểm tra tính tương thích và các vấn đề khác. Điều đó có thể dẫn đến sự chậm trễ đáng kể, trong khi một số hệ thống có thể bị lãng quên hoàn toàn và thậm chí không bao giờ được đưa vào danh sách cập nhật.

Các doanh nghiệp không sử dụng cập nhật tự động có thể muốn xem xét lại chính sách của họ. "Các nhà cung cấp đang kiểm tra tốt về tính ổn định và chức năng", Craig Williams, giám đốc tiếp cận bảo mật cho Talos tại Cisco Systems, Inc.

Cisco là một trong các đối tác sáng lập của CSDE và đã đóng góp cho hướng dẫn chống botnet. "Rủi ro trước đây đã giảm đi," ông nói.

Không chỉ các ứng dụng và hệ điều hành cần cập nhật tự động. "Hãy chắc chắn rằng các thiết bị phần cứng của bạn cũng được thiết lập để cập nhật tự động", ông nói.

Các sản phẩm kế thừa, cả phần cứng và phần mềm, có thể không còn được cập nhật nữa và hướng dẫn chống botnet khuyến nghị các doanh nghiệp ngừng sử dụng. Các nhà cung cấp cũng cực kỳ khó có thể cung cấp hỗ trợ cho các sản phẩm lậu.

Khóa truy cập

Hướng dẫn khuyến nghị rằng các doanh nghiệp triển khai xác thực đa yếu tố và dựa trên rủi ro, đặc quyền tối thiểu và các thực tiễn tốt nhất khác để kiểm soát truy cập. Sau khi lây nhiễm một máy, botnet cũng lan truyền bằng cách tận dụng thông tin đăng nhập, Williams nói. Bằng cách khóa truy cập, các botnet có thể được chứa ở một nơi, nơi chúng ít gây sát thương hơn và dễ dàng xóa sổ hơn.

Một trong các bước hiệu quả nhất mà các công ty có thể thực hiện là sử dụng các khóa vật lý để xác thực. Google, ví dụ, bắt đầu yêu cầu tất cả nhân viên của mình sử dụng khóa bảo mật vật lý vào năm 2017. Kể từ đó, không có tài khoản làm việc của một nhân viên nào bị lừa đảo, theo hướng dẫn.

"Thật không may, rất nhiều doanh nghiệp không thể đủ khả năng đó", Williams nói. Ngoài chi phí trả trước của công nghệ, rủi ro mà nhân viên sẽ mất chìa khóa là rất cao.

Xác thực yếu tố thứ hai dựa trên điện thoại thông minh giúp thu hẹp khoảng cách đó. Theo Wiliams, đây là chi phí hiệu quả và thêm một lớp bảo mật đáng kể. "Các kẻ tấn công sẽ phải thỏa hiệp về mặt vật lý điện thoại của một người," anh nói. "Có thể thực thi mã trên điện thoại để chặn SMS, nhưng các loại sự cố đó cực kỳ hiếm."

Đừng đi một mình

Hướng dẫn chống bot đề xuất một số lĩnh vực mà doanh nghiệp có thể hưởng lợi bằng cách tìm đến các đối tác bên ngoài để được giúp đỡ. Ví dụ: có nhiều kênh trong đó doanh nghiệp có thể chia sẻ thông tin về mối đe dọa, chẳng hạn như CERT, nhóm ngành, hoạt động chia sẻ thông tin của chính phủ và thực thi pháp luật và thông qua các nền tảng do nhà cung cấp tài trợ.

Nguồn: IT Word
Cảm ơn bạn đã đánh giá
5 Sao 1 Đánh giá