Araştırmacılar, Mirai botnet’in şimdiye kadar görülen en büyük ve en yıkıcı dağıtılmış hizmet reddi (DDoS) saldırılarını gerçekleştirme rekorlarını kırmaya devam ettiğini söylüyor.
Bu senaryoların kurbanlarına yardımcı olmak için Corero Network Security bir rapor yayınladı bugün, kötü şöhretli botnet’in son yıllarda çok az değişen yaygın saldırı yöntemlerini analiz ediyoruz. Yine de Mirai, temel amacını sürdürmek için çok sayıda varyant üretti: DDoS saldırıları düzenlemek için bir botnet ordusu oluşturmak üzere IoT cihazlarındaki güvenlik açıklarından yararlanın.
Corero Network Security’nin siber güvenlik mühendisi Huy Nguyen, Dark Reading’e “Mirai ile ilgili ilginç olan şey, çok fazla gelişmeden hala etkili olmasıdır.”
Raporda, sayısız varyantının hiçbiri Mirai’nin orijinal saldırı vektörlerinden sapmasa da, hala tehlikeli bir tehdit oluşturuyor ve her gün ağlara eklenen savunmasız IoT cihazlarının büyüyen havuzuyla destekleniyor.
Nguyen, gerçekten de, tipik Mirai saldırı vektörlerinin büyük kuruluşlara bile zarar verecek kadar sorunlu olduğunu söylüyor. Ayrıca, sınırlı teknik becerilere sahip tehdit aktörleri, kısmen 2016’da kaynak kodunun sızdırılması sayesinde, İnternette bulunan kaynakları kullanarak Mirai botnet’leri oluşturabilir.
Nguyen’e göre bu, saldırganların işletmelerde kurulu sayısız cihazı yama olmadan kötüye kullanmasını kolaylaştırıyor. “Script çocukları birkaç komutla kendi botnet’lerini kolayca oluşturabilirler” diye yazdı.
Kötü amaçlı yazılımı bırakmak ve bir DDoS saldırısı başlatmak için uzaktan kod yürütme (RCE) hatasıyla savunmasız IoT cihazlarından yararlanmaları gerekmesine rağmen, çoğu insan ev yönlendiricilerini, erişim noktalarını, IP’yi güncellememe eğiliminde olduğundan, RCE kusurları “nadir değildir”. kameralar ve benzerleri, dedi Nguyen.
Yaygın Saldırı Yöntemleri
Mirai, 2010’ların ortalarından beri ortalığı kasıp kavuruyor ve siber güvenlik alanında, aralarında Fransız teknoloji şirketi OVH, Liberya hükümeti ve DNS sağlayıcısı Dyn’in de bulunduğu küresel kuruluşlara karşı çok sayıda yıkıcı DDoS saldırısı başlatmasıyla tanınıyor. Twitter, Reddit, GitHub ve CNN gibi web siteleri.
Mirai’nin temel yetkinliği, yönlendiriciler ve kameralar gibi IoT cihazlarını, saldırganların kontrol edebileceği ve DDoS’u zorlayarak büyük miktarda trafiğe sahip hedefleri yağmalamak için kullanabileceği zombilere dönüştürmektir.
Corero’ya göre botnet, zaman zaman yeni özelliklerin veya hedeflerin eklenmesiyle veya yeni programlama dillerinin kullanılmasıyla gelişiyor gibi görünse de, şimdiye kadar DDoS’u zorlamak için ağları trafikle doldurmak için dokuz temel saldırı vektörünü koruyor. .
Biri, normalde kurbanın bant genişliğini aşmayı amaçlayan bir tür saldırı olan UDP flood’udur. Bu saldırıda kurbanlar bir hedef IP, alt ağ veya birden çok alt ağ olabilir.
İkincisi, yükleri olarak statik TSource Engine Query’den yararlanan Vale Source Engine sorgu akışı olarak adlandırılan şeydir. Bu saldırı, herhangi bir komut parametresi yoksa, UDP trafiğini 27015 numaralı hedef bağlantı noktasına gönderir.
Üçüncü saldırı yöntemi, “DNS Su İşkencesi” olarak adlandırılan ve belirli bir hedef IP’nin veya alt ağın peşinden gitmeyen, ancak kurbanın etki alanındaki çözümü önleyen açık çözümleyicilere DNS sorguları göndererek bir DNS sunucusunun kaynağını doldurmayı amaçlayan bir yöntemdir.
Dördüncü bir Mirai saldırı yöntemi, bir UDP taşmasına benzer, ancak daha az seçeneğe sahiptir ve daha yüksek PPS için optimize edilmiştir ve yalnızca üç bağımsız değişkenin tetiklenmesini gerektirir.
Beşincisi, bir yük taşımayan ve çeşitli bağlantı noktalarını rastgele dağıtan ve savunucuların engellemesi “zor” olan, SYN flood adı verilen bir saldırıdır. Başka bir saldırı olan ACK flood, SYN flood’a benzer ancak rastgele olan ve yalnızca saldırının engellenmesini zorlaştırmayı amaçlayan bir yük taşır.
Rapora göre Mirai’nin yedinci saldırı yöntemi, “botnet’in bir bot gibi davranmamaya çalıştığı”, savunucuların normal ve anormal trafik arasında ayrım yapmasını zorlaştırıyor. Katman-7 uygulama metin tabanlı bir protokol olan Basit Metin Yönelimli Mesajlaşma Protokolü’nü (STOMP) kullanır, ancak daha büyük etki için onu farklı bir protokole değiştirebilir.
Başka bir saldırı, IP paketlerini GRE paketlerinin içine hapseden, kaynak IP’yi, hedef IP’yi, UDP kaynak bağlantı noktasını, UDP hedef bağlantı noktasını ve iç paketin UDP yükünü rastgele hale getiren bir GRE taşmasıdır. Nguyen, bu uzun süreli yöntemin “oldukça yüksek bir BPS hacmi” kullanabileceğini ve hedeflenen kurbanlarda “önemli hasara” neden olabileceğini yazdı.
Bilinen son Mirai saldırı yöntemi, bir saldırganın ayar parametreleriyle özelleştirebileceği gelişmiş ve esnek bir katman 7 HTTP taşma saldırısıdır.
Mirai’ye Karşı Savunma
Nguyen, saldırı yöntemleri tutarlı kalsa da, Mirai kötü amaçlı yazılımının dağıtımı cihaz türü, platform veya istismar edilebilir hatalar arasında farklı olabilir, bu da onu “oldukça benzersiz kılar” diye yazdı. Ancak Corero, savunucuları botnet’ten yararlanan bir DDoS saldırısını hafifletmeye daha iyi hazırlamak için raporunu botnet’in yaygın saldırı yöntemlerini ortaya çıkarmaya odaklamayı seçti.
Bununla birlikte, kuruluşların ağ anormalliklerini tespit etmek ve hacimsel saldırılara karşı hafifletmek için özel çözümler uygulayarak Mirai gibi bot ağlarına karşı en iyi savunmayı yapabileceğini söylüyor.