Mirai ボットネット攻撃からルーターを保護する方法

悪意のある攻撃者がサイバー攻撃を拡大するために使用する戦略は、ボットネットの使用です。

ボットネットとは、マルウェアに感染し、悪意のあるアクターによってリモートで制御されているコンピューターのネットワークです。 感染したコンピューターのグループを制御するこのような悪意のあるアクターは、ボット ヘルダーと呼ばれます。 感染した個々のデバイスはボットと呼ばれます。

ボット ハーダーは、感染したコンピューターのグループを指揮および制御し、はるかに大規模なサイバー攻撃を実行できるようにします。 ボットネットは、大規模なサービス拒否攻撃、フィッシング、スパム攻撃、およびデータ盗難に際立って使用されてきました。

それ以来、デジタル デバイスをハイジャックして非常に大規模なボットネットを作成することで有名になったマルウェアの例は、Mirai ボットネット マルウェアです。 Mirai は、Linux を実行するモノのインターネット (IoT) デバイスの脆弱性を標的にして悪用するボットネット マルウェアです。

感染すると、Mirai は IoT デバイスをハイジャックし、ボットネットの一部として使用して大規模なサイバー攻撃を開始できるリモート制御ボットに変えます。 Mirai は C と GO を使用して作成されました。

このマルウェアは、2016 年にドメイン ネーム システム プロバイダーである DYN に対する分散型サービス妨害 (DDOS) 攻撃で使用され、注目を集めました。 この攻撃により、インターネット ユーザーは Airbnb、Amazon、Twitter、Reddit、Paypal、Visa などのサイトにアクセスできなくなりました。

Mirai マルウェアは、サイバーセキュリティ サイト Krebs on Security とフランスのクラウド コンピューティング会社 OVHCloud に対する DDOS 攻撃にも関与していました。

ミライはこうして生まれた

Mirai マルウェアは、当時 20 代前半の学生であり、DDOS 緩和サービスを提供する会社 ProTraf Solutions の創設者でもあった Paras Jha と Josiah White によって作成されました。 Mirai Malware は、C および Go プログラミング言語を使用して作成されました。

Mirai の当初の目標は、DDOS 攻撃を使用して競合する Minecraft サーバーをダウンさせ、競合をなくすことでより多くの顧客を獲得できるようにすることでした。

その後、彼らのミライへの利用は恐喝と恐喝に移行しました。 この 2 人は、企業に対して DDOS 攻撃を開始し、攻撃した企業に連絡して DDOS の軽減策を提供しました。

Mirai ボットネットは、Web サイト Krebs on Security とその OVH への攻撃を停止するために使用された後、当局とサイバー セキュリティ コミュニティの注目を集めました。 Mirai ボットネットが話題になり始めたとき、作成者は一般にアクセス可能なハッキング フォーラムでソース コードを Mirai ボットネットに漏らしました。

これは、彼らの痕跡を隠し、Mirai ボットネットを使用して行われた DDOS 攻撃の責任を問われないようにするための試みである可能性があります。 Mirai ボットネットのソース コードは他のサイバー犯罪者に利用され、Okiru、Masuta と Satori、PureMasuta などの Mirai ボットネットの亜種が作成されました。

しかし、Mirai ボットネットの作成者は、後に FBI によって逮捕されました。 しかし、FBI と協力して他のサイバー犯罪者を逮捕し、サイバー攻撃を防いだため、投獄されることはなく、刑が軽くなりました。

Mirai ボットネットのしくみ

Mirai ボットネットによる攻撃には、次の手順が含まれます。

Mirai ボットネットは、最初にインターネット上の IP アドレスをスキャンして、Arc プロセッサ上で Linux を実行している IoT デバイスを識別します。 次に、パスワードで保護されていないデバイス、またはデフォルトの資格情報を使用しているデバイスを識別してターゲットにします。

脆弱なデバイスを特定すると、Mirai はさまざまな既知の既定の認証情報を使用して、デバイスへのネットワーク アクセスを試みます。 デバイスがデフォルト設定を使用しているか、パスワードで保護されていない場合、Mirai はデバイスにログインして感染します。

Mirai Botnet はデバイスをスキャンして、他のマルウェアに感染していないかどうかを確認します。 存在する場合は、他のすべてのマルウェアを削除して、デバイス上の唯一のマルウェアになるようにし、デバイスをより詳細に制御できるようにします。

Mirai に感染したデバイスは Mirai ボットネットの一部となり、中央サーバーからリモートで制御できるようになります。 このようなデバイスは、中央サーバーからのコマンドを待つだけです。

感染したデバイスは、他のデバイスに感染するために使用されるか、ボットネットの一部として使用されて、インターネット上でアクセス可能な Web サイト、サーバー、ネットワーク、またはその他のリソースに対して大規模な DDOS 攻撃を実行します。

Mirai ボットネットには、ターゲットや感染の対象外の IP 範囲が付属していたことは注目に値します。 これには、米国国防総省と米国郵政公社に割り当てられたプライベート ネットワークと IP アドレスが含まれます。

Mirai ボットネットの標的となるデバイスの種類

Mirai ボットネットの主な標的は、ARC プロセッサを使用する IoT デバイスです。 Mirai ボットの作成者の 1 人である Paras Jha 氏によると、Mirai ボットネットに感染して使用された IoT デバイスのほとんどはルーターでした。

ただし、Mirai ボットネットの潜在的な犠牲者のリストには、ARC プロセッサを使用する他の IoT デバイスが含まれています。

これには、セキュリティ カメラ、ベビー モニター、サーモスタット、スマート TV などのスマート ホーム デバイス、フィットネス トラッカーや時計などのウェアラブル デバイス、グルコース モニターやインスリン ポンプなどの医療 IoT デバイスが含まれます。 ARC プロセッサを使用する産業用 IoT デバイスや医療用 IoT デバイスも、Mirai ボットネットの被害者になる可能性があります。

Mirai ボットネットの感染を検出する方法

Mirai ボットネットは、ステルス攻撃を行うように設計されているため、IoT デバイスが Mirai ボットネットに感染していることを検出するのは簡単なことではありません。 ただし、検出するのは簡単ではありません。 ただし、IoT デバイスが Mirai ボットネットに感染している可能性があることを示す次の指標を探してください。

• インターネット接続の低速化 – IoT デバイスが DDOS 攻撃の起動に使用されるため、Mirai ボットネットによってインターネットの速度が低下する可能性があります。
• 異常なネットワーク トラフィック – ネットワーク アクティビティを定期的に監視している場合、ネットワーク トラフィックが急増したり、見知らぬ IP アドレスにリクエストが送信されたりすることがあります。
• デバイスのパフォーマンスの低下 – IoT デバイスのパフォーマンスが最適化されていないか、異常な動作 (シャットダウンや再起動など) を示している場合は、Mirai 感染の可能性を示している可能性があります。
• デバイス構成の変更 – Mirai ボットネットは、IoT デバイスの設定またはデフォルト構成を変更して、デバイスを将来的に悪用および制御しやすくする可能性があります。 IoT デバイスの構成の変更に気付いた場合で、責任を負わない場合は、Mirai ボットネットに感染している可能性があります。

デバイスが感染しているかどうかを知るために注意できる兆候はありますが、Mirai ボットネットは検出が非常に困難な方法で作成されているため、簡単には気付かない場合があります。 そのため、これに対処する最善の方法は、Mirai ボットネットが IoT デバイスに感染するのを防ぐことです。

ただし、IoT デバイスが検出された疑いがある場合は、ネットワークから切断し、脅威が排除された後にのみデバイスを再接続してください。

Mirai ボットネットの感染からデバイスを保護する方法

IoT デバイスに感染する Mirai ボットネットの主要な戦略は、よく知られている一連のデフォルト設定をテストして、ユーザーがまだデフォルト設定を使用しているかどうかを確認することです。

その場合、Mirai はログインしてデバイスに感染します。 したがって、IoT デバイスを Mirai ボットネットから保護するための重要なステップは、デフォルトのユーザー名とパスワードの使用を避けることです。

資格情報を変更し、簡単に推測できないパスワードを使用してください。 ランダム パスワード ジェネレーターを使用して、推測できない一意のパスワードを取得することもできます。

実行できるもう 1 つの手順は、デバイスのファームウェアを定期的に更新し、セキュリティ パッチがリリースされるたびにインストールすることです。 企業は、デバイスに脆弱性が発見された場合に備えて、セキュリティ パッチをリリースすることがよくあります。

したがって、セキュリティ パッチがリリースされるたびにインストールすることで、攻撃者の一歩先を行くことができます。 IoT デバイスにリモート アクセスがある場合は、その機能が必要ない場合に備えて、それを無効にすることも検討してください。

他にも、ネットワーク アクティビティを定期的に監視したり、IoT デバイスが自宅の重要なネットワークに接続されないようにホーム ネットワークをセグメント化したりすることができます。

結論

Mirai ボットネットの作成者は当局によって逮捕されましたが、Mirai ボットネットに感染するリスクは依然として残っています。 Mirai ボットネットのソース コードが公開されたことで、IoT デバイスを標的とし、デバイスをより詳細に制御する、Mirai ボットネットの致命的な亜種が作成されました。

したがって、IoT デバイスを購入する際は、デバイスの製造元が提供するセキュリティ機能を重要な考慮事項にする必要があります。 マルウェア感染の可能性を防ぐセキュリティ機能を備えた IoT デバイスを購入します。

さらに、デバイスで既定の構成を使用することを避け、デバイスのファームウェアを定期的に更新し、最新のセキュリティ パッチがリリースされるたびにすべてインストールしてください。

また、サイバー攻撃を迅速に検出して対応するための最適な EDR ツールを探索することもできます。