Documente Academic
Documente Profesional
Documente Cultură
Mirai DDoS Attacks
Mirai DDoS Attacks
Temă
Securitatea rețelelor de calculatoare
Atacuri DDoS bazate pe malware-ul Mirai
Autori :
Mihai Alina Valentina
Țîmpău Alexandru
2018
Cuprins
1. Introducere .........................................................................................................3
2. Prezentare malware Mirai ..................................................................................3
Bot ..............................................................................................................4
Server CNC ................................................................................................4
Loader.........................................................................................................4
3. Mod de operare ..................................................................................................4
4. Demonstrație practică ........................................................................................7
Arhitectura rețelei/domeniului de test:....................................................9
Pașii premergători activității de testare: ................................................10
Instalarea prerechizitelor: ......................................................................11
Configurarea bazei de date:...................................................................15
Descărcarea și configurarea fișierelor sursă Mirai: ..............................16
Realizarea atacului (scanare & atac): ....................................................18
5. Concluzii ..........................................................................................................19
6. Bibliografie ......................................................................................................20
2
1. Introducere
Unu din cele mai importante aspecte ale societății este reprezentat de
securitatatea informației. Atacurile cibernetice au crescut considerabil în ultimii ani.
Atacurile DDoS (Distributed Denial of Service) sunt printre cele mai răspândite
forme de infracţionalitate cibernetică în prezent. Acest tip de atac informatic are
drept scop scoaterea din uz a unui sistem hardware, respectiv software, procesul în
sine neafectând datele care există în sistem (aplicațiile/site-urile web, bazele de date,
fișierele media etc.), ci doar împiedică temporar accesul utilizatorilor la resursa
online respectivă. DDoS presupune utilizarea mai multor dispozitive, accesul la
acestea făcându-se prin intermediul unor programe de tip malware/trojan, care pe
lângă aplicația propriu-zisă pot conține si alte programe ce persistă în sistem pentru
a fi activate ulterior. Un sistem, pe care există un astfel de program ce poate fi activat
și folosit apoi pentru atacuri DDoS de la distanță, se numește botnet.
Dintre cele mai cunoscute atacuri de tip DDoS având un impact ridicat se numără
cele bazate pe malware-ul Mirai. Mirai are ca scop compromiterea dispozitivelor
interconectate, insuficient protejate (în special cele de tip IoT). Acestea includ
camera de supraveghere, routere, telefoane și alte tipuri de dispozitive conectate la
Internet. Principala vulnerabilitate a dispozitivelor IoT, exploatată de botnetul Mirai,
constă în faptul că interfețele de administrare ale acestora sunt accesibile din Internet
și nu sunt securizate corespunzător, utilizând configurările și credențialele implicite.
În continuare, vom prezenta modul de acțiune și diverse componente ale codului
sursă Mirai. Pentru aceasta a fost creat și un mediu virtual controlat, în care a fost
instalat Mirai.
3
Bot
Această componentă reprezintă partea propriu-zisă ce infectează dispozitivele.
Fișierul main.c șterge fișierul executabil după ce a fost rulat, acesta rămânand doar
în RAM pentru a evita detecția. Bot-ul are în componență 3 module: attack, killer si
scanner. Scanner-ul foloseste telnet-ul și adrese publice IP pentru a gasi dispozitive
IoT vulnerabile. Procesele ce folosesc porturile 22,23 și 80 sunt distruse pentru a
putea fi folosite de malware. Bot-ul conține și metodele de atacuri pe care serverul
CNC le trimite botnet-ului.
Atacuri UDP
- Atacuri GRE (Generic Routing Encapsulation)
- Reflective Denial of Service
- DNS Flood (interogări cu înregistrări de tip A)
- Fluxuri de biți random prin pachete simple
Atacuri TCP
- SYN Flood
- ACK Flood
- PSH Flood
Atacuri HTTP
Odata ce conexiunea este stabilita, bot-ul poate trimite cereri HTTP de tip GET
sau POST constând în numeroase cookie-uri și payload random de date.
Server CNC
Serverul de comandă și control definește diferite API-uri și funcții de comandă
pentru a fi executate pe boți. Acesta se conectează mai întâi la baza de date cu
credentialele predefinite, apoi creează două socket-uri, unul pe portul 23 pentru
telnet și unui pe portul 101 pentru API.
Loader
Loader-ul creează serverul pentru downloadarea payload-urilor precompilate
pentru diverse arhitecturi. Apoi se comporta și ca server de stocare date, menținând
o bază de date cu detalii despre toate dispozitivele din rețeaua de boți.
3. Mod de operare
Mirai scanează adrese IP publice aleatoare prin porturile TCP 23 sau 2323. Unele
adrese, inclusiv cele ale Serviciului Postal SUA, Departamentul Apărarii, IANA,
4
General Electric(GE) și Hewlett-Packard(HP) sunt excluse, cel mai probabil pentru
a nu atrage atenția instituțiilor de securitate cibernetică.
Bot-ul încearcă prin atac de forță-brută să descopere credențialele, bazat pe un
dicționar generic și credențialele default de la producător. Există o listă de 62 perechi
de nume_utilizator – parolă, hardcodate în codul sursă.
6
4. Demonstrație practică
Simularea unui atac având la bază malware-ul Mirai a fost realizată prin
configurarea unui mediu virtual de test alcătuit din următoarele entități:
- Domain Controller:
7
- Stația victimă:
- Entitatea malițioasă:
8
o adăugarea serverului de DNS a fost realizată prin editarea fișierului
/etc/resolv.conf ;
o numele stației a fost setat prin editarea fișierului /etc/hosts;
9
Pașii premergători activității de testare:
10
Instalarea prerechizitelor:
11
2. Instalarea utilitarelor:
12
- descărcarea arhivelor:
13
- redenumirea folderelor rezultate în urma dezarhivării:
14
Configurarea bazei de date:
15
3. Crearea unui tabel pentru stocarea unui istoric despre atacatori și comenzile
pe care acești le-au executat după preluarea controlului asupra victimelor:
16
2. Structura proiectului:
17
5. Modificarea fișierului table.c (adăugarea string-ului criptat anterior):
18
4. Sesiunea telnet deschisă în urma atacului:
5. Concluzii
Atacurile DDoS sunt în general imposibil de evitat, mai ales în cazul celor de
magnitudine semnificativă, precum cele asociate cu botnetul Mirai. O serie de
masuri au fost propuse împotriva acestor tipuri de atacuri .
- Actualizarea permaentă a software-ului (firmware) de pe dispozitive.
- Schimbarea credențialelor implicite (nume de utilizator, parolă) pentru
accesarea și administrarea dispozitivelor
- Utilizarea facilităților de securitate ale dispozitivelor (ex. prevenirea
atacurilor de tip bruteforce prin opțiunea de blocare a încercărilor repetate și
nereușite de autentificare, activarea modulului firewall etc.);
- Dezactivarea facilităților/serviciilor care nu sunt necesare, precum Telnet,
SSH, sau HTTP;
- Restricționarea accesului de la distanță (prin Internet) la interfețele de
administrare și configurare a dispozitivelor. În cazul în care este absolut
necesară administrarea dispozitivului de la distanță, recomandăm utilizarea
facilităților de tip firewall ale dispozitivelor (acolo unde există), sau utilizarea
unui firewall extern, pentru permiterea accesului la interfețele de
administrare doar de la anumite adrese IP;
19
6. Bibliografie
[1] “Analysis of Mirai Malicious Software” , Hamdija Sinanovic, Sasa Mrdovic
[2] “Understanding the Mirai Botnet”, Manos Antonakakis, Tim April, Michael
Bailey etc.
[3] “DDoS in the IoT: Mirai and Other Botnets”, Constantinos Kolias, Georgios
Kambourakis, Angelos Stavrou, Jeffrey Voas
[4] “Rise of the Machines: The Dyn Attack Was Just a Practice Run”, James Scott,
Drew Spaniel, December 2016
[5] https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
20