Mirai malware

Mirai je oblik zlonamjernog softvera koji posebno cilja IoT uređaje. Ti uređaji mogu biti CCTV sustavi, pametni televizori, kućanski aparati, NAS (Network Attatchd Storage) pogoni itd. Opisan je način na koje malware prodire u računalni sustav i ukratko su objašnjene botnet mreže te je utvrđeno zašto IoT uređaji pogoduju izgradnji istih. Prvi slučaj Mirai napada zabilježen je 2016. godine kada je broj zaraženih iznosio 600 000 uređaja. Iako su krivci za napad uhićeni , problem s Mirai malwareom postoji i danas.

Ključne riječi: malware, Mirai, botnet, DDoS napad, IoT

Internet stvari (IoT) omogućuje svakodnevnim fizičkim objektima i ljudima interakciju i olakšava razmjenu informacija. Heterogena priroda, ograničene memorijske i neke računske mogućnosti te na kraju nedostatak sigurnosnih mehanizama u IoT domeni predstavljaju prijetnju i zabrinutost za sigurnost i privatnost korisnika. IoT uređaji stoga neprekidno privlače napadače da iskoriste njihovu ranjivost i pretvore ih u upravljivi bot. Botnet je zbirka takvih botova koji se zatim koriste za DDoS napade. Kroz nekoliko zadnjih godina zabilježena su mnoga narušavanja sigurnosti IoT-a koja su kao posljedica ograničila pristup popularnim web mjestima te time uzrokovali materijalne i novčane štete. U ovom radu je analiziran zlonamjeran softver Mirai, softver koji je poslužio autorima uspostavljanje jedne takve botnet mreže. Navedene su njegove tehnike eksploatacije i predložena su neka rješenja kako bi se spriječilo daljnje širenje IoT Botneta.

Botnet se stvara kompromitiranjem osobnih računala, koja često imaju nekoliko ranjivosti. Računala mogu biti kompromitirana putem trojanskih programa, mrežnih priključaka ili drugog zlonamjernog softvera. Vanjski napadač zatim kontrolira aspekte njihove funkcionalnosti, a da vlasnici računala toga nisu svjesni. Zajedno povezani na internet, predstavljaju tzv. botove koji su pod daljinskim upravljanjem neke druge strane. Botneti često imaju distribuiranu arhitekturu, ali ponekad naredbe dolaze i sa središnjeg poslužitelja.

Prvi botnet napravljen je 2001. godine za slanje neželjene elektroničke pošte. Takvi napadi prisutni su i danas te predstavljaju veliku prijetnju korisnicima interneta. Neželjene poruke šalju se s puno različitih računala, stoga filtri za neželjenu poštu imaju poteškoća kada ih treba blokirati. Druga uobičajena upotreba botneta jest ona koju je Mirai iskoristio, riječ je o DDoS napadu u kojem se ciljni poslužitelj jednostavno preplavljuje web prometom dok ga se ne preoptereti i time isključi iz mreže. Kod DDos napada naredbe se šalju kontrolnom poslužitelju, zatim kontrolni poslužitelj izdaje naredbe za napad na svaki od pojedinačnih čvorova (zaraženih uređaja) u botnetu. Čvorovi nakon primanja poruka šalju napadački promet dalje na odredište.

DDoS napadi ne dolaze samo s botnet mreža, ali takvi napadi imaju dobre karakteristike za napad i stoga su veoma popularni. Neke od karakteristika omogućuju da se napadač može prikriti od žrtve, nadalje korištenjem ugroženih sustava napadač može pokrenuti još veći napad, a ako dođe do geografske disperzije i mreža se proširi svijetom ista može činiti masovno distribuirani napad koji se onda teško sprječava.

Tijekom vremena proizvođači osobnih računala postali su pametniji u implementaciji sigurnosti u svoja računala. Suprotno navedenom, uređaji Internet of Things (IoT) imaju i dalje velike probleme po tom pitanju. IoT je općeniti izraz za razne uređaje za koje većina populacije ne doživljava kao računala, ali koji također imaju procesorsku snagu i pristup internetu. U nastavku su navedeni neki od takvih uređaja: kućni usmjerivači, sigurnosne kamere, mrežni usmjerivači, poljoprivredni uređaji, medicinski uređaji, uređaji za nadzor okoliša, kućanski aparati, DVR-ovi, CC kamere, slušalice, detektori dima itd. Svi navedeni često uključuju ugrađeni Linux sustav koji također često nemaju ugrađenu mogućnost daljinskog zakrpavanja. Osim toga takvi uređaji se često nalaze na fizički udaljenim ili nepristupačnim mjestima što ponovno pogoduje raznim napadima.

U današnje vrijeme postoji milijarde uređaja spojenih na internet, zrelih za razne napade. Mirai malware je iskoristio upravo ove nesigurne IoT uređaje na jednostavan, ali dovitljiv način. Umjesto da upotrijebi složene algoritme za pronalaženje i tako napada pojedine IoT uređaje, Mirai skenira velike blokove interneta u potrazi za otvorenim Telnet priključcima. Isti se zatim pokušava prijaviti na uređaje pomoću 61 kombinacije korisničkog imena odnosno lozinke koje se često koriste kao zadane za ove uređaje i dosad se nisu mijenjale od strane korisnika. Takvih uređaja postoji puno, riječ je najviše i ljudskoj nemarnosti i na taj način je Mirai uspješno prikupio pozamašnu količinu kompromitiranih uređaja, sada spremnih dati svoje performanse na korištenje napadačima.

Malware, kratica od zlonamjernog softvera, općeniti je pojam koji uključuje računalne crve, viruse, trojanske konje, razne rootkite ili ostale špijunske softvere. Mirai malware inficira pametne uređaje koji rade na ARC procesorima, pretvarajući ih u mrežu daljinski upravljanih botova.

19. rujna 2016. godine autori zlonamjernog softvera Mirai pokrenuli su prvi veliki DDoS napad na web. Korišten je protiv francuskog teleoperatera OVH jer je, kako se kasnije pokazalo, OVH bio vlasnik popularnog alata kojeg su korisnici poslužitelja Minecraft koristili u borbi protiv ostalih DDoS napada. Još jedan veliki napad nedugo nakon, 12. listopada, pokrenuo je netko drugi protiv Dyna, tvrtke koja između ostalog nudi DNS usluge mnogim velikim web servisima. FBI tvrdi kako je taj napad u konačnici bio usmjeren na Microsoftove poslužitelje igara.

Na slici ispod prikazana je Mirai topologija na visokoj razini. Postoje tri različita tijeka rada: skeniranje, zaraza i napad. U nastavku su ukratko objašnjeni pojedini dijelovi.

Priprema napada

Skeniranje je prvi korak za identificiranje novih članova kako bi se uključili u botnet. Ova mreža sastoji se od botnet čvorova, poslužitelja izvješća i slučajnih sustava na internetu. Tijek rada Mirai skeniranja može se podijeliti na tri osnovne aktivnosti:

• SYN skeniranje portova – internet se ispituje radi utvrđivanja mogućih ciljeva
• Brute Force Authentication - jednostavna podudaranja uzoraka (primjena već poznatih lozinki )
• Izvješće o uspjehu - rezultati se šalju centraliziranom poslužitelju

Brzina kojom botnet može skenirati internet nevjerojatno je brza. Kako botnet raste, brzina poprima gotovo eksponencijalni rast.

Implementacija zlonamjernog softvera

Tijek zaraze slijedi sljedeće aktivnosti :

• Utvrđuje se uspjeh skeniranja
• Loader prima podatke
• Loader pusha zlonamjerni softver na uređaj

Loader pokušava identificirati arhitekturu uređaja i učitati odgovarajuću izvršnu datoteku. Kada je izvršna datoteka pokrenuta, uređaj postaje novim članom botneta. Isti tada započinje izvoditi aktivnosti skeniranja i napada kao i bilo koji drugi čvor u botnetu.

Ponavljanje napada

Tijek napada prikazan je na dijagramu toka na slici ispod. Dijagram ilustrira funkcionalnost koja je odgovorna za aktiviranje DDoS napada na čvorove unutar botneta. Proces se sastoji od tri sljedeće aktivnosti:

• Master bot šalje naredbu za napad na kontrolni poslužitelj
• Sustav za upravljanje šalje naredbe svakom čvoru u botnetu da pokrene napad s određenim specifikacijama
• Kada čvor primi poruku od kontrolnog sustava, isti izvršava željeni napad i šalje pakete velikim brzinama

Za vrijeme napada čvor nastavlja sve svoje uobičajene pozadinske aktivnosti skeniranja. Čvor kontinuirano izvršavajući svoje zadaće nikad ne prestaje tražiti nove web stranice i uređaje za zarazu.

Mirai se također može koristiti za poboljšanje rada botnet mreža koje su ugrađene u izvorni kod. Mirai čini nekoliko stvari kako bi se zaštitio od otkrivanja. Nakon pokretanja zlonamjernog softvera Mirai samostalno se briše iz datotečnog sustava i pokrenutog postupka. Na samom kraju izmjenjuje svoje ime u neku slučajnu vrijednost. Nadalje, Mirai se pokušava zaštititi od konkurentskih botneta tako što čim provali u sustav, pokušava spriječiti bilo koju drugu provalu. Jednom implementiran, Mirai pokušava pronaći određene identifikatore povezane s konkurentskim botnetima. Ukoliko ih pronađe, utoliko će ubiti taj proces i u osnovi preuzeti cijeli sustav.

Stručnjaci iz Imperva Incapsule tvrtke navode izvrsnu analizu Mirai botnet koda. Neki od zaključaka jesu da Mirai može danas pokretati HTTP poplave i napade na mrežnoj razini, stoga treba pripaziti i na to. Navode da određene raspone IP adresa Mirai teško može povezati, uključujući one u vlasništvu GE, Hewlett-Packarda i američkog Ministarstva obrane. Miraijev kod sadrži nekoliko linija koda na ruskom jeziku, kako smo kasnije saznalo, riječ je o još jednom pokušaju autora da otežaju utvrđivanje o svom konačnom podrijetlu. Imperva Incapsula također ima alat koji skenira korisničku mrežu tražeći ranjivosti, posebno tražeći uređaje koji imaju vjerodajnice na Miraijevom popisu.

Mirai se sprema u memoriju, stoga je ponovno pokretanje uređaja dovoljno za uklanjanje bilo koje potencijalne zaraze, iako zaključuju da se zaraženi uređaji obično brzo ponovno zaraze. Stoga je glavna preporuka promijeniti lozinku na jaču prije ponovnog pokretanja kako bi onemogućili sljedeće zaraze.

Nekoliko dana poslije velikog napada u rujnu, autor je namjerno pustio kod Mirai botneta na internet na raspolaganje svima. U tom trenutku svatko može iskoristiti kod za naredne napade na IoT uređaje (većina još uvijek nezaštićena). Ujedno su sada svi u mogućnosti pokretati DDoS napade na korisnike. Riječ je uobičajenoj tehnici koja autorima zlonamjernog softvera daje mogućnost poricanja. Naime, svjesni su da će ostali cyber kriminalci kopirati i koristiti taj kod u narednim napadima, što uvelike otežava utvrditi tko je kod stvorio i u konačnici prvi iskoristio. Mnogi cyber kriminalci su upravo iskoristili priliku i još dodatno dorađuju i poboljšavaju kod pa je borba protiv takvih napada postala još kompliciranija.

Paras Jha, student na Rutgersu sveučilištu, istraživao je kako se DDoS napadi mogu koristiti za zaradu. Pokrenuo je seriju manjih napada na sustave vlastitog sveučilišta, vremenski usklađenih s važnim događajima poput registracije novih studenata i slično, sve vrijeme pokušavajući ih uvjeriti da ga zaposle da ublaži upravo napade koje je sam stvarao. Paras Jha zajedno s Josiah Whiteom su nešto kasnije osnovali i tvrtku Protraf Solutions, koja nudi usluge ublažavanja DDoS napada. Osim toga, Jha je bilo veliki igrač Minecrafta, a jedan od hirova Minecraft ekonomije je taj što se može dobro zaraditi na hostingu poslužitelja igara Minecraft. Uzevši to u obzir, iskoristio je to prilikom okršaja u kojima domaćini pokreću DDoS napade protiv svojih rivala, nadajući se da će srušiti njihove servere offline i povećati tako svoje poslovanje, a samim time i povećati zaradu. Njihov je slučaj bio klasičan reket, njihovo je poslovanje nudilo usluge ublažavanja DDoS-a upravo onim organizacijama koje je njihov zlonamjerni softver napadao.

Jha je volio anime i predstavljao se na mreži pod imenom “Anna-Senpai”. Mirai je nazvao upravo po seriji Mirai Nikki (japanski za “budućnost”, 未来) . U prosincu 2016. godine Jha i njegovi suradnici priznali su krivnju za zločine povezane s napadima Mirai. Nažalost, do tada je kod već bio pušten na internet i koristio se dalje kao kvalitetan temelj za daljnje botnet mreže i napade. Paras Jha je osuđen i naloženo mu je da plati odštetu od 8,6 milijuna dolara. Poslan je u kućni pritvor na šest mjeseci zbog pomaganja u pokretanju niza masovnih cyber napada . Prema riječima agenta FBI-a koji je istraživao napade, “Ta su djeca super pametna, ali nisu učinila ništa na visokoj razini - jednostavno su imali dobru ideju.”

Kao što je u prijašnjem poglavlju navedeno, autori Mirai koda su uhićeni ali njihov izvorni kod i dalje živi te zapravo neprekidno mutira. Razni drugi cyber kriminalci poboljšavaju inačicu što je izrodilo neke varijante kao što su Okiru, Satori, Masuta i PureMasuta. Na primjer, PureMasuta je u stanju uporabiti HNAP bug u D-Link uređajima. S druge strane, inačica OMG pretvara IoT uređaje u proxyje koji cyber kriminalcima omogućuju da ostanu anonimni. Pod nadimkom IoTrooper i Reaper otkriveni su novi softveri. Oni su u stanju kompromitirati IoT uređaje mnogo bržim tempom od Mirai. Reaper cilja veći broj proizvođača uređaja i ima daleko veću kontrolu nad svojim botovima.

Sigurnosni stručnjaci već neko vrijeme proučavaju Mirai pa su tako zaključili da najnovija varijanta sadrži puno više prethodno nepoznatih zadanih vjerodajnica koje bi se mogle koristiti u budućim napadima. Način na koji bi se legitimni softverski proizvod s vremenom procijenio i poboljšao, istraživači su rekli da akteri prijetnje koji stoje iza Mirai kontinuirano procjenjuju eksploatacije koje koristi, zadržavajući one koji teže da zaraze više strojeva. Primjerice, četiri eksploatacije u trenutnoj inačici dizajnirane su za preuzimanje određenih proizvoda, poput LG televizora Supersign i Belkinovih uređaja Wemo.

Mirai botnet, sastavljen prvenstveno od ugradbenih računalnih sustava i IoT uređaja, obuzeli su Internet krajem 2016. godine kada je svladao nekoliko značajnijih servera s jednim od najvećih zabilježenih DDoS napada u povijesti. U radu je opisana analiza Miraijeve pojave i evolucije, objašnjeno je kakve je uređaje napadala te kakve su posljedice istih.

Nažalost, IoT uređaji su i dalje popularni među cyber kriminalcima jer često rade u okruženjima s malo ili nimalo ljudske intervencije. To znači da stručnjaci za sigurnost moraju osigurati da njihove mreže pokreću samo proizvode koji jamče sigurnost. IBM-ovi stručnjaci sugeriraju da najbolji IoT proizvođači trebaju npr. provoditi dodatne analize površine napada kako bi vidjeli na koje bi načine uređaji mogli biti ranjivi napadače i kako automatizirati neka podešavanja na temelju najvećih područja rizika. Iako kod IoT uređaja još uvijek postoje mnogi sigurnosni izazovi, Miraijev se nastanak temeljio prvenstveno na odsustvu najosnovnijih sigurnosnih praksi u IoT prostoru, što je rezultiralo tako krhkim okolišem pogodnim za napad. Dok se IoT domena nastavlja širiti i razvijati, Mirai također preko svojih novijih verzija i dalje predstavlja opasnost svim sektorima.

[1] Andrew Shoemaker, How to Identify a Mirai-Style DDoS Attack, Imperva, April 2017

[2] Josh Fruhlinger , The Mirai botnet explained: How teen scammers and CCTV cameras almost brought down the internet , CSO, March 2018

[3] wikipedia, Mirai (malware)

[4] CloudFlare, What is the Mirai Botnet? , 2020