デフォルトのユーザー名とパスワードを使用してモノのインターネットデバイスを攻撃し、本質的に分散型サービス拒否(DDoS)を生成するように配線されているウイルスであるMiraiワームについて、私はある程度読みました。
ただし、最近、別のワームであるBrickerBotについても読んでいます。これは、モノのインターネットデバイスに対するウイルス攻撃でもあります。thenextweb.comのこの記事によると、永続的なサービス拒否(PDoS)が発生します。
サービス拒否に関連するこれら2つの攻撃の違いは何ですか?そうでなければ、これらのIoT攻撃に関連するDDoSとPDoSの違いは何ですか?
回答:
1. DDoS(参照用)
従来の分散型サービス拒否攻撃(DDos)は、何らかのアプリケーション(Mirai、LizardStresser、gafgytなど)を介して制御されるノードで構成される分散システム(ボットネット)が使用されるサービス拒否(DoS)攻撃のクラスです。ターゲットシステムのリソースまたは枯渇点までのシステム。これの適切な説明はsecurity.SEで与えられます。
Miraiが制御するボットネットがサービス拒否を達成する方法の説明は、Incapsulaの分析で見つけることができます。
このカテゴリのほとんどのマルウェアと同様に、Miraiは2つの主要な目的のために構築されています。
- IoTデバイスを見つけて侵害し、ボットネットをさらに成長させます。
- リモートC&Cから受信した指示に基づいてDDoS攻撃を開始します。
募集機能を実現するために、MiraiはIPアドレスの広範なスキャンを実行します。これらのスキャンの目的は、推測が容易なログイン資格情報(通常は工場出荷時のユーザー名とパスワード(例:admin / admin))を介してリモートアクセスできるセキュリティ保護されていないIoTデバイスを見つけることです。
みらいはパスワードを推測するためにブルートフォーステクニック、つまり辞書攻撃を使用しています...
Miraiの攻撃機能により、HTTPフラッドおよびさまざまなネットワーク(OSIレイヤー3-4)DDoS攻撃を開始できます。HTTPフラッドを攻撃する場合、Miraiボットは次のデフォルトユーザーエージェントの背後に隠れます...
ネットワーク層攻撃の場合、MiraiはGRE IPおよびGRE ETHフラッド、SYNおよびACKフラッド、STOMP(Simple Text Oriented Message Protocol)フラッド、DNSフラッド、UDPフラッド攻撃を起動できます。
これらのタイプのボットネットは、制御されたデバイスを使用してターゲットシステムに向けられた大量のネットワークトラフィックを生成し、そのシステムによって提供されるリソースが攻撃の間アクセスできないようにすることで、サービスを拒否するリソース枯渇を達成します。攻撃が停止すると、ターゲットシステムのリソースは使い果たされなくなり、正当な着信クライアント要求に再び応答できるようになります。
2.「PDoS」
BrickerBotキャンペーンは根本的に異なります。組み込みシステムをボットネットに統合してからサーバーへの大規模な攻撃を調整する代わりに、組み込みシステム自体が標的になります。
ラドウェアのBrickerBotの投稿「BrickerBot」の結果、永続的なサービス拒否が発生しています。
被害者のハードウェアが機能しなくなるように設計された高速移動ボット攻撃を想像してください。Permanent Denial-of-Service(PDoS)と呼ばれるこの形式のサイバー攻撃は、このハードウェアを破壊する攻撃に関連するインシデントが発生するにつれて、2017年にますます一般的になりつつあります。
一部のサークルでは「フラッシング」とも呼ばれているPDoSは、ハードウェアの交換または再インストールが必要になるほどシステムをひどく損傷する攻撃です。セキュリティの欠陥や設定ミスを悪用することにより、PDoSはファームウェアやシステムの基本機能を破壊する可能性があります。よく知られている従兄弟であるDDoS攻撃とは対照的です。DDoS攻撃は、意図しない使用によってリソースを飽和させることを目的とした要求でシステムを過負荷にします。
永続的な無力化を対象とした組み込みシステムには、リモートコントロールの目的でアプリケーションがダウンロードされておらず、ボットネット(エンファシスマイニング)の一部になることはありません。
デバイスの侵害
Bricker Bot PDoS攻撃では、Telnetのブルートフォース(Miraiが使用するのと同じエクスプロイトベクトル)を使用して、被害者のデバイスを侵害しました。Brickerはバイナリをダウンロードしようとしないため、Radwareにはブルートフォース攻撃に使用された資格情報の完全なリストはありませんが、最初に試行されたユーザー名/パスワードのペアが一貫して「root」/「vizxv」であることを記録できました。 '
デバイスの破損
デバイスへのアクセスに成功すると、PDoSボットは一連のLinuxコマンドを実行し、最終的にストレージが破損し、インターネット接続、デバイスのパフォーマンス、およびデバイス上のすべてのファイルを消去するコマンドが実行されます。
3番目の違いは、このキャンペーンには、数千または数百万ではなく、攻撃者が制御する少数のデバイスが関与することです。
ラドウェアのハニーポットは、4日間にわたって、世界中の複数の場所から実行された1,895 PDoSの試行を記録しました。
PDoSの試みは、世界中に広がる限られた数のIPアドレスから発生しました。すべてのデバイスはポート22(SSH)を公開し、Dropbear SSHサーバーの古いバージョンを実行しています。ほとんどのデバイスは、Shodanによってユビキティネットワークデバイスとして識別されました。その中には、ビーム指向性を備えたアクセスポイントとブリッジがあります。
BrickerBotの「PDoS」キャンペーンがMiraiのような従来の「DDoS」キャンペーンと根本的に異なる多くの方法を考えると、類似した用語を使用すると混乱が生じる可能性があります。
killer_init()行190から220および関数memory_scan_match()行494から539を見ると、Miraiは競合するボットネットのプロセスと一致するプロセスを検索してデバイスメモリをスキャンし、それらのプロセスを強制終了します。 。Miraiはまた、感染したデバイス上のtelnetを強制終了するため、デバイスを「パッチ」する必要はありません。それはすでに「BrickerBot」から直接攻撃を受けないで
DDoSは短命です。攻撃ベクトルが削除されるか、DDoSが停止すると、デバイスは機能します。(またはミライの場合、残りのインターネットは機能します。)
それはのでPDoSesは、デバイスを更新することはできません二度と、働きます。
MiraiはIoTデバイスをDDoS ソースとして使用しました。Miraiに感染したデバイスは引き続き機能しました。DDoSアスペクトは通常の機能に追加されました。デバイス自体に対するDDoSではありませんでした。
それが正常な機能を排除し、それを削除する方法を提供していなかった場合は、デバイスに対するPDOSされているだろうと一般のインターネットに対するDDoS攻撃の源。
Daveが書いたものについて少し詳しく説明すると、主な差別化要因は、DDoSボットネットの場合、IoTデバイスが攻撃者として使用され、通常はデバイスが主要な方法で機能することさえ妨げないことです。これらの攻撃者はすべて、第三者に対してDDoS攻撃を実行できるボットネットを持つ力を失いたくありません。IoTの消費者は通常、何にも気付きません。
ただし、 BrickerBotはデバイス自体を攻撃し、デバイスを無効にします。したがって、IoTコンシューマは攻撃の標的であり、攻撃の可能性を意図しないプロバイダーではありません。
多くのブログが想定しているように(この例を取り上げます)、ボットはDDoSワームの潜在的なターゲットを減らすための予防攻撃である可能性があります。主に、ボットのネットポテンシャルまたは競合を減らす以外に、単に物を破壊することによって得られるものがほとんどないためです。
これは、IoTメーカー(「イメージ」)と消費者を実際に脅かし、IoTデバイスを適切に保護する緊急性を高める脅威であるため、これは良いことだと考えるかもしれません。