6. Bố cục của luận án
1.2. Tởng quan về mã độc IoT Botnet
1.2.2. Đặc điểm của mã độc IoT Botnet
Mạng lưới Botnet truyền thống là tập hợp các máy tính hoặc máy chủ bị xâm nhập và lây nhiễm mã độc (thường được gọi là “zombie”) dẫn tới bị chiếm quyền điều khiển, thực hiện các nhiệm vụ theo mục đích của kẻ tấn cơng. Chủ sở hữu mạng lưới Botnet (Botmaster) cĩ thể kiểm sốt các “zombie” bằng kênh bí mật như Internet Relay Chat (IRC) hoặc mạng ngang hàng. Các phương pháp kiểm sốt này đưa ra các lệnh để thực hiện các hành vi độc hại như tấn cơng từ chối dịch vụ phân tán (DDoS), gửi thư rác hoặc đánh cắp thơng tin cá nhân người dùng. Mục tiêu của mã độc IoT Botnet là tập hợp các thiết bị IoT hạn chế tài nguyên như camera giám sát an ninh kết nối Internet (IP camera), bộ định tuyến khơng dây gia dụng (SOHO router wifi), bộ điều khiển trung tâm (smart hub) và các thiết bị trong nhà thơng minh. Điều này cho thấy sự thay đởi về thành phần cơ bản trong mạng lưới IoT Botnet so với Botnet truyền thống. Ngồi ra, phương pháp lây nhiễm lên các thiết bị IoT cũng mang những đặc điểm riêng dành cho các thiết bị
hạn chế tài nguyên, bảo mật kém hơn so với máy tính thơng thường. Mơ tả đặc điểm của mã độc IoT Botnet và so sánh với mã độc Botnet truyền thống được trình bày cụ thể tại Bảng 1.1.
Bảng 1.1 So sánh đặc điểm Botnet truyền thống và IoT Botnet
Đặc điểm Mã độc Botnet truyền thống Mã độc IoT Botnet
Kiến trúc vi xử lý, hệ điều hành
Chủ yếu tập trung vào kiến trúc x86 và x64 của các loại chip phở biến của Intel và AMD; Hệ điều hành mục tiêu phở biến là Windows, ngồi ra cĩ lượng nhỏ là Linux, MacOS,…
Đa dạng nền tảng kiến trúc vi xử lý nhỏ gọn, tiêu thụ năng lượng thấp đang được phát triển như MIPS, ARM, PowerPC, SPARC,…;
Chủ yếu là hướng tới hệ điều hành nhúng (Embeded OS) nhân Linux phiên bản 2.6, 3.2,…
Kỹ thuật gây rối
Sử dụng các kỹ thuật gây rối phức tạp để hạn chế khả năng bị phát hiện, phân tích mã nguồn từ các cơng cụ, phần mềm chuyên dụng cĩ lịch sử nghiên cứu, phát triển tương đối dài.
Do hạn chế về mặt tài nguyên xử lý, lưu trữ dữ liệu nên ít sử dụng các kỹ thuật gây rối phức tạp hoặc chỉ sử dụng các kỹ thuật gây rối đơn giản như UPX, XOR.
Mục đích sử dụng
Đa mục đích như thu thập dữ liệu cá nhân, mã hĩa dữ liệu tống tiền, đào tiền ảo, tấn cơng từ chối dịch vụ,…
Tập trung vào mục đích tấn cơng từ chối dịch vụ phân tán (DDoS) và các biến thể của nĩ vì đặc điểm số lượng lớn và khả năng phân tán của thiết bị IoT trên tồn cầu.
Khả năng phát hiện
Tương đối dễ dàng phát hiện bởi các cơng cụ, phần mềm chuyên dụng cĩ lịch sử nghiên cứu, phát triển tương đối dài và được cập nhật thường xuyên;
Khĩ phát hiện bởi ít tương tác với người dùng, thường hoạt động độc lập, hạn chế trong giao diện đồ họa tương tác với người dùng (GUI) dẫn tới khĩ phát hiện các dấu hiệu khả nghi.
Đặc điểm Mã độc Botnet truyền thống Mã độc IoT Botnet
thường xuyên cĩ tương tác với người sử dụng nên dễ phát hiện các dấu hiệu nghi vấn bị lây nhiễm mã độc.
Vị trí lưu trữ
Cĩ thể lây nhiễm và lưu trữ tại các bộ nhớ bền vững trên máy tính (HDD, SSD,…) và tạo các bản sao tại nhiều vị trí khác nhau nhằm tránh bị cơng cụ chuyên dụng loại bỏ dễ dàng.
Thường chỉ tải và thực thi các mã nhị phân trên các bộ nhớ khơng bền vững (RAM) do đặc điểm tài nguyên hạn chế của thiết bị IoT.
Ngăn chặn mã độc khác
Khơng tồn tại chức năng này trừ khi cĩ tranh chấp tài nguyên với mã độc khác vì máy tính truyền thống cĩ nguồn tài nguyên lớn.
Do hạn chế về mặt tài nguyên xử lý và lưu trữ nên thường tồn tại chức năng ngăn chặn mã độc khác lây nhiễm lên thiết bị mục tiêu.
Với việc nghiên cứu đặc điểm các họ mã độc IoT Botnet, các nhà nghiên cứu đã đưa ra các giai đoạn trong vịng đời của loại mã độc này. Theo Pamela [29], mã độc IoT Botnet thực hiện hành động của mình trong ba giai đoạn chính là:
+ Lây nhiễm (Infection): Mã độc tuyển lựa các Bot mới để cĩ thể lây nhiễm thành cơng thơng qua các kỹ thuật như khai thác lỗ hởng bảo mật, tấn cơng truy cập và chiếm quyền điều khiển với những mật khẩu mặc định, tải phiên bản thực thi phù hợp với mục tiêu và kích hoạt tệp thực thi khiến cho thiết bị trở thành một phần của mạng lưới Botnet.
+ Ra lệnh điều khiển (Command and Control): Sau khi bị lây nhiễm thành cơng, các Bot sẽ liên lạc với máy chủ điều khiển mạng lưới Botnet (thường được biết đến với tên gọi C&C server) để chờ nhận lệnh điều khiển.
+ Hành vi độc hại (Malicious Activities): Các Bot nhận được lệnh từ máy chủ C&C server và thực thi các hành vi độc hại như gửi yêu cầu tới mục tiêu (tấn cơng từ chối dịch vụ phân tán – DDoS), gửi thư rác (Email spam), đào tiền kỹ thuật số (cryptocurrency mining),…
Theo Kolias [8] mơ tả 7 bước thực thi (được minh họa tại Hình 1.4) của mã độc IoT Botnet gồm:
+ Bước 1: Một Bot trong mạng lưới Botnet tham gia vào một cuộc tấn cơng dị tìm mật khẩu đăng nhập (thường là Brute-force attack) tài khoản quản trị hoặc điều khiển từ xa của các thiết bị IoT mục tiêu được cấu hình mật khẩu yếu hoặc mặc định của nhà sản xuất. Cĩ 62 cặp tên tài khoản người dùng – mật khẩu được mã hĩa cứng (hardcode) trong mã nguồn của Mirai.
+ Bước 2: Khi dị tìm thành cơng tài khoản của thiết bị IoT mục tiêu và chiếm được quyền thực thi lệnh, Bot sẽ thu thập và gửi thơng tin về mục tiêu mới (địa chỉ IP, cởng và tài khoản truy cập, kiến trúc CPU, phiên bản hệ điều hành,…) đến máy chủ báo cáo (Report server) thơng qua một cởng khác.
+ Bước 3: Thơng qua máy chủ C&C server, Botmaster thường xuyên kiểm tra các mục tiêu nạn nhân tiềm năng mới cũng như trạng thái hiện tại của mạng lưới Botnet bằng cách liên lạc với máy chủ báo cáo, thường thơng qua một kênh liên lạc ẩn danh như Tor.
+ Bước 4: Sau khi quyết định tuyển lựa các thiết bị nào dễ bị lây nhiễm, Botmaster ra lệnh lây nhiễm bằng cách yêu cầu máy chủ lưu trữ các phiên bản thực thi mã độc (Loader server) tải xuống các thơng tin của mục tiêu mới từ máy chủ báo cáo để lựa chọn phiên bản phù hợp phục vụ lây nhiễm.
+ Bước 5: Máy chủ lưu trữ mẫu mã độc (Loader server) tiến hành đăng nhập vào thiết bị mục tiêu mới và hướng dẫn nĩ tải xuống (thường thơng qua giao thức wget hoặc FTP), thực thi phiên bản mẫu mã độc tương ứng với kiến trúc của thiết bị. Ngay khi mẫu mã độc này được thực thi thành cơng, nĩ sẽ cố gắng tự bảo vệ mình khỏi các mã độc khác bằng cách tắt các dịch vụ điều khiển từ xa như Telnet và SSH. Tại thời điểm này, cá thể Bot mới này được tuyển lựa thành cơng và đã cĩ thể giao tiếp với máy chủ C&C server để nhận lệnh.
+ Bước 6: Botmaster hướng dẫn tất cả các Bot trong mạng lưới bắt đầu một cuộc tấn cơng mạng vào máy chủ mục tiêu bằng cách ra lệnh thơng qua máy chủ C&C server với các tham số tương ứng với cuộc tấn cơng.
+ Bước 7: Các Bot trong mạng lưới sẽ bắt đầu tấn cơng máy chủ mục tiêu với một trong các dạng tấn cơng từ chối dịch vụ phân tán phở biến hiện cĩ.
Hình 1.4 Các bước trong vòng đời của mã độc IoT Botnet
Vậy, từ những nghiên cứu kể trên, luận án tởng kết đưa ra các bước cơ bản trong vịng đời của IoT Botnet (minh họa tại Hình 1.5) bao gồm năm bước dưới đây:
1) Khởi tạo mã nguồn: Ở giai đoạn đầu, Botmaster thực hiện khai thác thơng tin của thiết bị IoT mục tiêu để tìm lỗ hởng bảo mật và sử dụng các phương pháp khác nhau để cĩ thể truy cập vào thiết bị mục tiêu.
2) Lây nhiễm: Botmaster leo thang đặc quyền để thiết bị mục tiêu chạy một Shellcode (thường dưới dạng script) để tải về tệp mã nhị phân thực thi được phù hợp với đặc điểm thiết bị thơng qua các giao thức như P2P, FTP, HTTP,… Tệp mã nhị phân này được cài đặt lên thiết bị mục tiêu và biến thiết bị này thành “zombie”.
3) Kết nối với C&C server: Các “zombie” theo kịch bản trong tệp mã nhị phân tải về cố gắng kết nối tới C&C server được xây dựng, điều khiển bởi Botmaster. Một khi kết nối thành cơng, “zombie” trở thành một thành phần trong mạng lưới Botnet. Lúc này, các con “bot” sẽ giữ liên lạc và nhận lệnh từ Botmaster thơng qua C&C server.
4) Thực thi hành vi độc hại: Các “bot” thực thi hành vi độc hại theo lệnh nhận được từ Botmaster thơng qua C&C server như thực thi các hình thức tấn cơng từ chối dịch vụ tới nạn nhân.
5) Cập nhật và bảo trì: Trong giai đoạn này, Botmaster cĩ thể cần nâng cấp mạng lưới Botnet của họ với nhiều lý do khác nhau như tránh bị phát hiện, thêm chức năng cho bot. Quá trình này giúp cho mạng lưới Botnet tồn tại và phát triển mở rộng.
Hình 1.5 Vòng đời của IoT Botnet