Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Mirai Botnet Spinoffs Giải phóng Làn sóng Tấn công DDoS...

Mirai Botnet Spinoffs Giải phóng Làn sóng Tấn công DDoS Toàn cầu

Đến năm Mura năm Bảo mật máy tính
Dịch sang:
Tiếng Việt Nam

Hai botnet Mirai spinoff đã phát động các chiến dịch từ chối dịch vụ phân tán (DDoS) hung hăng trên toàn thế giới, nhắm vào các lỗ hổng trong các thiết bị Internet vạn vật (IoT) và khai thác thông tin xác thực yếu. Các chiến dịch này nhấn mạnh mối đe dọa dai dẳng do phần mềm độc hại dựa trên Mirai gây ra, vẫn là vũ khí mạng mạnh mẽ gần một thập kỷ sau lần ra mắt khét tiếng.

Sự tiến hóa của Mirai: Mối đe dọa dai dẳng đối với bảo mật IoT

Botnet Mirai từ lâu đã là biểu tượng của các lỗ hổng vốn có trong các thiết bị IoT. Kể từ khi mã nguồn của nó bị rò rỉ vào năm 2016, Mirai đã truyền cảm hứng cho vô số biến thể, mỗi biến thể đều dựa trên khả năng tàn phá của phần mềm độc hại gốc. Hai chiến dịch riêng biệt đã xuất hiện gần đây, tận dụng phần mềm độc hại bắt nguồn từ Mirai để xâm phạm các thiết bị IoT và phát động các cuộc tấn công DDoS toàn cầu.

Chiến dịch 1: Mạng botnet Murdoc

Một trong những chiến dịch đang hoạt động, được gọi là Murdoc Botnet, đang cung cấp phần mềm độc hại Mirai để khai thác các lỗ hổng cụ thể trong các thiết bị IoT như camera Avtech và bộ định tuyến Huawei HG532. Theo các nhà nghiên cứu tại Qualys, botnet sử dụng các khai thác đã biết, bao gồm:

  • CVE-2024-7029 : Lỗ hổng bỏ qua xác thực trong camera Avtech, cho phép kẻ tấn công chèn lệnh từ xa.
  • CVE-2017-17215 : Lỗ hổng thực thi mã từ xa (RCE) trong bộ định tuyến Huawei.

Mạng botnet Murdoc bắt đầu hoạt động vào tháng 7 năm 2024 và kể từ đó đã xâm phạm hơn 1.300 IP, chủ yếu ở Malaysia, Thái Lan, Mexico và Indonesia. Các nhà nghiên cứu đã phát hiện ra hơn 100 bộ máy chủ riêng biệt được liên kết với mạng botnet, mỗi bộ có nhiệm vụ quản lý các thiết bị bị nhiễm và phối hợp các cuộc tấn công tiếp theo.

Phần mềm độc hại xâm nhập vào các thiết bị thông qua các tệp ELF và shell script, sau đó được sử dụng để cài đặt các biến thể phần mềm độc hại Mirai. Các thiết bị bị nhiễm này được vũ khí hóa để tham gia vào các cuộc tấn công DDoS mở rộng, tạo ra một mạng lưới botnet toàn cầu đáng gờm.

Chiến dịch 2: Phần mềm độc hại lai nhắm vào các tổ chức toàn cầu

Chiến dịch thứ hai, tận dụng phần mềm độc hại có nguồn gốc từ cả Mirai và Bashlite, đã nhắm mục tiêu vào các tổ chức trên khắp Bắc Mỹ, Châu Âu và Châu Á. Các nhà nghiên cứu của Trend Micro đã xác định các cuộc tấn công DDoS quy mô lớn ban đầu ảnh hưởng đến các tập đoàn và ngân hàng Nhật Bản trước khi lan rộng ra toàn cầu.

Các vectơ tấn công và thiết bị mục tiêu

Những kẻ tấn công tập trung vào việc khai thác các lỗ hổng bảo mật và thông tin xác thực yếu trong các thiết bị IoT được sử dụng rộng rãi, chẳng hạn như:

  • Bộ định tuyến TP-Link
  • Bộ định tuyến Zyxel
  • Camera IP Hikvision

Phần mềm độc hại khai thác lỗ hổng thực thi mã từ xa và mật khẩu yếu để truy cập, sau đó tải xuống các tập lệnh để xâm phạm thiết bị. Hoạt động toàn cầu này đã sử dụng hai loại tấn công DDoS chính:

  1. Tấn công quá tải mạng : Làm ngập mạng bằng các gói dữ liệu khổng lồ để làm quá tải băng thông.
  2. Tấn công cạn kiệt tài nguyên : Tạo nhiều phiên để làm cạn kiệt tài nguyên máy chủ.

Trong một số trường hợp, kẻ tấn công kết hợp cả hai phương pháp để gây thiệt hại tối đa, gây ra sự gián đoạn đáng kể ở các khu vực bị ảnh hưởng.

Biện pháp phòng thủ: Giảm thiểu tác động của Botnet Mirai

Sự trỗi dậy của các chiến dịch dựa trên Mirai làm nổi bật nhu cầu các tổ chức phải tăng cường phòng thủ chống lại các cuộc tấn công DDoS. Các nhà nghiên cứu tại Qualys và Trend Micro đã đưa ra các khuyến nghị quan trọng để chống lại các mối đe dọa này.

Thực hành chung tốt nhất

  1. Giám sát hoạt động đáng ngờ : Thường xuyên theo dõi các quy trình, sự kiện và lưu lượng mạng để phát hiện dấu hiệu xâm phạm.
  2. Tránh các nguồn không đáng tin cậy : Không thực thi các tập lệnh shell hoặc tệp nhị phân từ các nguồn không xác định.
  3. Bảo vệ thiết bị IoT : Đảm bảo thiết bị được cập nhật chương trình cơ sở mới nhất và có mật khẩu mạnh, duy nhất.

Giảm thiểu các cuộc tấn công quá tải mạng

  • Sử dụng tường lửa hoặc bộ định tuyến để chặn các địa chỉ IP độc hại và hạn chế lưu lượng truy cập không mong muốn.
  • Hợp tác với các nhà cung cấp dịch vụ Internet để lọc lưu lượng DDoS ở biên mạng.
  • Nâng cấp phần cứng bộ định tuyến để xử lý khối lượng gói tin lớn hơn.

Giảm thiểu các cuộc tấn công cạn kiệt tài nguyên

  • Triển khai giới hạn tốc độ để hạn chế số lượng yêu cầu từ các địa chỉ IP cụ thể.
  • Sử dụng dịch vụ bảo vệ DDoS của bên thứ ba để lọc lưu lượng truy cập độc hại.
  • Liên tục theo dõi các kết nối theo thời gian thực và chặn các IP có hoạt động quá mức.

Di sản bền bỉ của Mirai

Những chiến dịch botnet Mirai mới nhất này đóng vai trò như một lời nhắc nhở nghiêm khắc về những rủi ro do các thiết bị IoT không được bảo vệ gây ra. Khi những kẻ tấn công tiếp tục tinh chỉnh chiến thuật của chúng và tận dụng các lỗ hổng IoT, các tổ chức phải luôn cảnh giác, chủ động và chuẩn bị để giảm thiểu rủi ro của các cuộc tấn công DDoS. Bằng cách áp dụng các biện pháp bảo mật mạnh mẽ và thúc đẩy sự hợp tác giữa các bên liên quan đến an ninh mạng, chúng ta có thể giảm tác động của các mối đe dọa dai dẳng này.

Đang tải...