Home » Công nghệ thông tin » Khắc Phục Sự Phát Triển Của Botnet Nền Iot

Khắc Phục Sự Phát Triển Của Botnet Nền Iot

Kể từ những năm 1990, botnet đã được sử dụng bởi bọn tội phạm trực tuyến, những người có khả năng truy cập vào các thiết bị bị nhiễm phần mềm độc hại và kiểm soát chúng để gửi spam, ăn cắp dữ liệu và thực hiện các cuộc tấn công DDoS (Distributed Denial of Service).

Bằng cách này, bọn tội phạm có thể có được số lượng lớn các máy tính bị xâm nhập để thực hiện các hoạt động bất chính của chúng. Sau hai mươi năm và các cuộc tấn công này đã tiến triển bao gồm các chiến dịch tống tiền, các cuộc tấn công DDoS lớn nhất trong lịch sử, và gây ra tình trạng ngừng dịch vụ toàn cầu. Điều này chủ yếu là do bọn tội phạm lợi dụng các thiết bị kết nối tạo nên Internet of Things (IoT), và thể hiện tài năng ở những nơi không ai nghĩ đến.

Mặc dù các máy chủ botnet lớn hơn vào đầu những năm 2000 hầu hết bị hạ bởi cơ quan thi hành pháp luật làm vô hiệu hoá cơ sở hạ tầng Internet Relay Chat (IRC) trên máy chủ C&C, những kẻ tấn công đã thay đổi thiết bị vào khoảng năm 2010 và tập trung nhiều hơn vào các cuộc tấn công L7 với các botnet nhỏ hơn.

Khoảng năm 2013, kẻ tấn công bắt đầu sử dụng các botnet nhỏ hơn với sức mạnh lớn hơn nhờ vào khả năng tấn công phản xạ / khuếch đại. Vào năm 2016, thế giới đã chứng kiến ​​sự gia tăng của các bot IoT, với việc phát tán phần mềm độc hại Mirai IoT, làm cho bọn tội phạm có khả năng tung ra bất kỳ cuộc tấn công DDoS nào.

Một mối đe dọa không ai khác

Mirai hóa ra lại là chất xúc tác hoàn hảo để khai thác thêm CPU và băng thông từ các thiết bị khiêm tốn nhất trên quy mô lớn. Lý do nó làm việc rất tốt là các thiết bị IoT như camera an ninh thường không được giám sát, hoặc được xem là mối đe dọa.

Mirai tận dụng lợi thế của thực tế là các thiết bị này thường được vận chuyển với các thiết lập bảo mật yếu hoặc thiết lập từ nhà máy, ví dụ như mật khẩu hardcoded. Mã nguồn cho botnet được phát hành vào ngày 30 tháng 9 năm 2016 và một tháng sau đó chịu trách nhiệm cho cuộc tấn công hơn 1 Tbps trên Dyn. Nó đã làm gián đoạn Internet cho hơn 900.000 thuê bao Deutsche Telekom ở Đức, và đã xâm nhập gần 2.400 bộ định tuyến TalkTalk ở Anh.

Để hiểu làm thế nào để đánh bại Mirai, điều quan trọng là phải xem xét cách thức mà nó đã có thể trở nên sung mãn (và thành công). Mirai hoạt động bằng cách khai thác bảo mật mặc định yếu trên nhiều thiết bị IoT. Nó hoạt động bằng cách liên tục quét các thiết bị IoT có thể truy cập qua internet và chủ yếu quét các cổng được mở như 22, 23, 5747, v.v

Nó cũng có thể được cấu hình để quét các cổng khác. Sau khi kết nối với thiết bị IoT, Mirai cố gắng đăng nhập, truy cập và lây nhiễm thiết bị. Thiết bị bị nhiễm sẽ quét các mạng khác để tìm thêm các thiết bị IoT và khởi động các cuộc tấn công DDoS.

Mirai tắt các chương trình khác đang chạy trên các thiết bị IoT như SSH, Telnet và HTTP.Nó làm điều này để ngăn chặn chủ sở hữu truy cập từ xa vào thiết bị IoT trong khi bị nhiễm bệnh. Khởi động lại thiết bị IoT có thể loại bỏ phần mềm độc hại, nhưng nó có thể nhanh chóng bị nhiễm lại.

Tìm hiểu mối đe dọa

Các thiết bị được vận chuyển với sự bảo mật yếu hoặc không bảo mật là một vấn đề lớn gây ra dịch bệnh cho IoT. Cho đến khi được giải quyết theo tiêu chuẩn ở cấp ngành, người dùng cần phải có trách nhiệm bằng cách thay đổi tên người dùng / mật khẩu mặc định trên tất cả các thiết bị IoT trước khi cài đặt chúng trên mạng.

Các hành động cơ bản khác để chống lại sự gia tăng của các botnet dựa trên IoT là đảm bảo tất cả thiết bị IoT đều được bảo vệ bởi tường lửa và không trực tiếp kết nối Internet. Ngoài ra, làm cho một số bức tường lửa đang chặn tất cả các kết nối gửi đến các thiết bị IoT phía sau chúng. Quét từ bên ngoài mạng cũng là một ý tưởng hay để tìm bất kỳ thiết bị IoT không được truy cập công cộng.

Đối với các tổ chức lớn và các nhà cung cấp dịch vụ có nhiều khách hàng phụ thuộc vào tính khả dụng và thời gian hoạt động của họ, việc đầu tư vào hỗn hợp đám mây và cơ chế bảo vệ DDoS hay còn được gọi là phương pháp tiếp cận hỗn hợp sẽ tạo cho họ chỗ đứng vững vàng. Đầu tư theo cách này sẽ mang lại sự an tâm, và tiết kiệm đáng kể cho các cơ sở hạ tầng và băng thông để giải quyết mọi mối đe dọa đang ngày càng tăng với quy mô gần như không thể đoán trước.

Bằng cách sử dụng các dịch vụ dựa trên đám mây và các dịch vụ hỗn hợp, lưu lượng truy cập có thể được chuyển hướng khỏi cơ sở hạ tầng quan trọng của bạn, đến nơi trú ẩn an toàn, nơi băng thông và phần cứng chuyên dụng đang chờ đón, sẵn sàng bảo vệ doanh nghiệp của bạn.

Các tổ chức và nhà cung cấp dịch vụ nói riêng sẽ cần thực hiện các bước để chuẩn bị ngay bây giờ trở nên mềm dẻo hơn để giữ cho doanh nghiệp của họ và khách hàng được an toàn.