6. Bố cục của luận án
1.2. Tởng quan về mã độc IoT Botnet
1.2.1. Khái niệm mã độc IoT Botnet
Mã độc IoT là các mã độc nhắm mục tiêu vào các thiết bị IoT, chủ yếu là các thiết bị nhúng đa kiến trúc vi xử lý, bao gồm MIPS32, MIPS64, ARM32, ARM64, PowerPC, SPARC. Loại mã độc này thường hoạt động dựa trên đặc điểm hạn chế tài nguyên của các thiết bị IoT và là nơi các cơ chế bảo mật thường bị coi nhẹ, bỏ qua. Mặc dù thực thi trên mục tiêu là các thiết bị hạn chế tài nguyên, mã độc IoT cĩ thể tồn tại các phiên bản phức tạp cho q trình phân tích, phát hiện. Gần đây, một số họ mã độc IoT đã triển khai
các kỹ thuật chống phân tích (anti-analysis), làm xáo trộn mã (code obfuscation) và thực thi hành vi cĩ điều kiện theo đặc điểm của hệ thống (system conditional behavior) [26].
Ví dụ, một trong các biến thể của mã độc Mirai quan sát đặc điểm của hệ thống để xác định các điều kiện tối thiểu trước khi liên hệ với máy chủ C&C. Nếu các yêu cầu tối thiểu khơng được đáp ứng, mã độc này sẽ kết nối với máy chủ C&C giả mạo, ngăn khơng cho tiết lộ máy chủ C&C thật sự. Nhiều biến thể mã độc Mirai khác thực hiện giám sát các tiến trình đang chạy của hệ thống nhằm tìm kiếm một tập hợp các tên quy trình được liên kết với các mã độc nởi tiếng để vơ hiệu hĩa đối thủ tiềm ẩn và tiết kiệm tài nguyên được chia sẻ hạn chế [27].
Hầu hết mã độc IoT được xây dựng dựa trên một loại ngơn ngữ lập trình và được biên dịch chéo (cross-compiler) thành nhiều tệp thực thi được trên các kiến trúc CPU khác nhau (như MIPS, ARM, PowerPC). Tệp thực thi nhị phân (Executable binary) thường chứa tất cả các thư viện cần thiết (statically link) để giảm sự phụ thuộc vào mơi trường bên ngồi và tăng cơ hội thực thi của nĩ trên các thiết bị IoT khác nhau. Các tệp mã nhị phân này thường thực hiện các tính năng liên quan đến các cuộc tấn cơng từ chối dịch vụ phân tán (DDoS), cài đặt Backdoor, tấn cơng dị tìm mật khẩu quản trị (Brute- force attack), thực thi lệnh từ C&C server, mã hĩa dữ liệu tống tiền và các cơng cụ khai thác tiền điện tử. Với sự đa dạng của mã độc IoT, theo thống kê của Cozzi và cộng sự
[26] mã độc IoT Botnet chiếm đại đa số. Tiêu biểu cho loại mã độc này cĩ thể kể đến Mirai và Bashlite, được phát triển đặc biệt để tạo ra các mạng IoT Botnet quy mơ lớn được thiết kế khởi động các kiểu tấn cơng từ chối dịch vụ phân tán khác nhau [8]. Vì vậy, vấn đề nghiên cứu tìm hiểu, phát hiện mã độc IoT Botnet là nhiệm vụ quan trọng trong việc bảo vệ mơi trường IoT nĩi chung và các thiết bị IoT nĩi riêng.
Theo Bertino [28], Botnet là một mạng lưới gồm các thiết bị bị xâm nhập (thường gọi là Bot), thực thi mã độc dưới sự chỉ huy và kiểm sốt của Botmaster. Botnet cĩ một loạt các mục đích bất chính như gửi thư rác (email spam), tấn cơng từ chối dịch vụ phân tán (DDoS), bẻ khĩa mật khẩu (password cracking), theo dõi bàn phím người dùng (keylog) và khai thác tiền điện tử (cryptocurrency mining). Các Bot cĩ thể tự động quét tồn bộ phạm vi mạng và tự lan truyền bằng các lỗ hởng bảo mật đã biết và lợi dụng mật khẩu yếu trên các thiết bị khác để xâm nhập. Khi một máy tính bị xâm nhập, một chương trình nhỏ được cài đặt để kích hoạt tác vụ trong tương lai bởi
thời điểm nhất định cĩ thể ra lệnh cho các Bot trong mạng thực hiện các hành động như gửi yêu cầu đến máy chủ trang web mục tiêu với mục đích khiến nĩ khơng thể phục vụ yêu cầu của người dùng hợp pháp, dẫn đến tấn cơng từ chối dịch vụ phân tán (DDoS). Các Botnet ban đầu đã sử dụng một kiến trúc tập trung, trong đĩ Botmaster sẽ cư trú trên một hoặc nhiều máy chủ trung tâm. Bởi vì các Botnet như vậy cĩ thể bị vơ hiệu hĩa bằng cách tắt các máy chủ này, các kiến trúc thay thế dựa trên các mạng ngang hàng (P2P) đã xuất hiện như GameOver Zeus, Sality, ZeroAccess và Kelihos.
Cùng với sự phát triển của Internet of Thing (IoT), IoT Botnet đã ra đời. Theo Pamela [29], mã độc IoT Botnet là “một mạng lưới các thiết bị IoT (như IP-camera,
thiết bị định tuyến, thiết bị gia dụng, thiết bị cầm tay và đeo được, cảm biến và các thiết bị khác sử dụng giao thức IP để truyền dữ liệu qua Internet) bị xâm nhập và lây nhiễm mã độc phục vụ xây dựng Botnet”. Mã độc này cho phép kẻ tấn cơng kiểm sốt
các thiết bị IoT, thực hiện các tác vụ giống như một mạng lưới Botnet truyền thống. Với các khái niệm đã được các nhà nghiên cứu trình bày ở trên, kết hợp với phạm vi nghiên cứu của đề tài, khái niệm mã độc IoT Botnet được sử dụng trong luận án này được xác định như sau:
Khái niệm 1.3. Mã độc IoT Botnet là mã độc cĩ khả năng xâm nhập và lây nhiễm trên các thiết bị IoT hạn chế tài nguyên phục vụ mục đích xây dựng Botnet.