Analiza podatności obiektów IoT botnetu Mirai

Szajstek, Daniel

Artykuł - szczegóły

Tytuł artykułu

Analiza podatności obiektów IoT botnetu Mirai

Autorzy

Szajstek Daniel

Treść / Zawartość

Pełne teksty:

Pobierz

Identyfikatory

Warianty tytułu

Analysis of vulnerabilities of IoT devices in the Mirai botnet

Języki publikacji

Abstrakty

Następujący postęp technologiczny, niewątpliwe posuwa się w zawrotnym tempie, jednocześnie tworząc nowe standardy, udogodnienia życia codziennego i zmieniając dotychczasową rzeczywistość. Przykładem dokładnie obrazującym omawiany stan jest stworzenie i użytkowanie technologii Internet of Things (IoT, Internet Rzeczy). Spośród licznych zastosowań i udogodnień, które niesie ze sobą technologia IoT, jak monitoring wizyjny, różnego rodzaju zaprogramowane czujniki czy urządzenia wchodzące w skład inteligentnego domu, niewątpliwie podwyższają standard, ułatwiając i automatyzując pracę, którą jeszcze kilka lat temu, trzeba było robić w sposób manualny. Jednak widoczną tendencją wśród producentów urządzeń internetu rzeczy, jest produkcja obiektów klasy hi-tech, bez odpowiedniego poziomu bezpieczeństwa, który gwarantowałby triadę bezpieczeństwa w postaci integralności, poufności i dostępności. Wiele produkowanych i aktywnie użytkowanych obiektów IoT, posiada szereg podatności, których wykorzystanie pozwala na przełamanie zabezpieczeń i przejęcie nad nimi kontroli. Omawiany stan rzeczy został wykorzystany w roku 2016, przez aktora o nazwie Anna-Senpai, który ze względu na homogeniczne podatności i luki bezpieczeństwa występujące w wielu aktywnych urządzeniach IoT zainfekował i przejął obiekty Internetu rzeczy, tworząc botnet Mirai. W wyniku całego przedsięwzięcia, Mirai, aktywnie atakował i wyrządzał szkody serwisom różnych platform jak Netflix, Spotify czy Reddit, atakiem typu rozproszonej odmowy usługi – DDoS. Biorąc pod uwagę niski poziom bezpieczeństwa obiektów IoT, występujące podatności, dające możliwości ich eksploatacji w aktywnie działających urządzeniach, trzeba podstawić pytanie, które stanowi główny problem badawczy niniejszej pracy, a jego treść brzmi następująco: „Jakie istnieją i występują podatności, zagrożenia oraz luki bezpieczeństwa w obiektach IoT, których wykorzystanie pozwala na ich aktywną eksploitację”. Analizując aktualny stan wiedzy i występuje warunki zakłada się, że dotychczasowy stan urządzeń IoT jest zbyt niski by zagwarantować i utrzymać odpowiedni poziom bezpieczeństwa. Występujące podatności, objawiają się w postaci botnetów, które wykorzystując występujące luki, przejmują kontrolę nad urządzeniami IoT, tym samym infekując obiekty internetu rzeczy złośliwym oprogramowaniem, przejmując nad nimi kontrolę oraz wykorzystywaniem ich do przeprowadzania ataków DDoS. W celu dokładnego przeanalizowania głównego problemu i znalezienia odpowiedzi na zadane pytanie, zostały zdefiniowane problemy szczegółowe: 1. Jak stworzone i wykorzystywane są botnety? 2. Jak działał botnet Mirai? 3. W jaki sposób podnieść bezpieczeństwo obiektów IoT? W trakcie poszukiwania odpowiedzi na zadane pytanie w postaci problemu badawczego i wraz z nim występujących problemów szczegółowych, została opracowana hipoteza robocza, prezentująca się w następujący sposób: „Aktualnie działające i pracujące obiekty IoT, posiadają szereg wielu podatności, zagrożeń i luk bezpieczeństwa, których wykorzystanie pozwala na ich ekspolitację i przejęcie nad nimi kontroli”.

The following technological progress is undoubtedly advancing at a rapid pace, simultaneously creating new standards, conveniences for daily life, and changing the existing reality. An example that clearly illustrates the current situation is the creation and use of the Internet of Things (IoT) technology. Among the numerous applications and conveniences that IoT technology brings, such as video surveillance, various types of programmed sensors, and devices that make up smart homes, there is no doubt that it raises standards, making work easier and automating tasks that just a few years ago had to be done manually. However, a visible trend among Internet of Things device manufacturers is the production of hi-tech objects without the appropriate level of security that would guarantee the security triad in terms of integrity, confidentiality, and availability. Many IoT devices that are produced and actively used have a number of vulnerabilities that, when exploited, allow the breaking of security measures and taking control of these devices. This situation was exploited in 2016 by an actor named Anna-Senpai, who, due to homogeneous vulnerabilities and security gaps found in many active IoT devices, infected and took over Internet of Things objects, creating the Mirai botnet. As a result of this operation, Mirai actively attacked and caused damage to services on various platforms such as Netflix, Spotify, and Reddit through Distributed Denial of Service (DDoS) attacks.

Słowa kluczowe

cyberbezpieczeństwo botnet malware Mirai CVE TCP/IP IoT C2 host podatność DDoS IP brute force mitre cyber kill chain telnet OWASP

cybersecurity botnet malware Mirai DDoS

Wydawca

Maritime Cybersecurity Center, Polish Naval Academy in Gdynia of the Heroes of Westerplatte

Czasopismo

Cybersecurity & Cybercrime

Rocznik

2025

Tom

T. 1, Nr 7

Opis fizyczny

Bibliogr. 93 poz., tab.

Twórcy

autor

Szajstek Daniel

Absolwent Akademii Marynarki Wojennej w Gdyni

https://orcid.org/0000-0003-1849-104X

Bibliografia

1. R. Kasprzyk, M. Paź, Z. Tarapata, Modelowanie i symulacja cyberzagrożeń typu botnet, https://bibliotekanauki.pl/articles/404188.pdf
2. J. Santanna, R. van Rijswijk-Deij, R. Hofstede, A. Sperotto, M. Wierbosch, L. Granville, A. Pras, Booters—An analysis of DDoS-as-a-service attacks, https://ieeexplore.ieee.org/abstract/document/7140298
3. M. Guy, S. Ghafur, J. Kinross, C. Hankin, A. Darzi, WannaCry—a year on, https://www.bmj.com/content/361/bmj.k2381.full
4. S. Hsiao, D. Kao, The static analysis of WannaCry ransomware, https://ieeexplore.ieee.org/abstract/document/8323680/authors#authors
5. K. Frankowicz, WannaCry Ransomware, https://cert.pl/posts/2017/05/wannacry-ransomware/
6. Sayar, A. Bartel, E. Bodden, Y. Le Traon, An In-depth Study of Java Deserialization Remote-Code Execution Exploits and Vulnerabilities, https://dl.acm.org/doi/abs/10.1145/3554732
7. Krajobraz bezpieczeństwa polskiego internetu 2016 Raport roczny z działalności CERT Polska, https://cert.pl/uploads/docs/Raport_CP_2016.pdf
8. A. Wróbel, Analiza bota Mirai oraz jego wariantów, https://cert.pl/posts/2020/03/analiza-bota-mirai-oraz-jego-wariantow/
9. L. Meier, D. Honegger, M. Pollefeys, PX4: A node-based multithreaded open-source ro-botics framework for deeply embedded platforms, https://ieeexplore.ieee.org/abstract/document/7140074/authors#authors
10. J. Postel, J. Reynolds, Telent Protocol Specification, https://www.rfc-editor.org/rfc/rfc854
11. J. Kwon, J. Lee, H. Lee, Hidden Bot Detection by Tracing Non-human Generated Traffic at the Zombie Host, https://link.springer.com/chapter/10.1007/978-3-642-21031-0_26
12. C. Yang, J. Wu, F. Lee, T. Lin, M. Tsai, Detection and Mitigation of SYN Flooding At-tacks through SYN/ACK Packets and Black/White Lists, https://www.mdpi.com/1424-8220/23/8/3817
13. S. Sawicki, Techniki skanowania sieci, https://www.computerworld.pl/news/Techniki-skanowania-sieci,289144,4.html
14. T. Kruk, J. Wrzesień, Wykrywanie Nietypowych Sposobów Skanowania Portów, https://delibra.bg.polsl.pl/Content/71211/BCPS-80102_2002_Wykrywanie-nietypowy.pdf
15. What is botnet? https://www.indusface.com/learning/what-is-a-botnet/
16. M. A. R. Putra, T. Ahmad, D. P. Hostiadi, Analysis of Botnet Attack Communication Pat-tern Behavior on Computer Networks, https://inass.org/wp-content/uploads/2022/05/2022083148-2.pdf
17. P. Bhandari, Botnet Detection and Prevention Techniques. A Quick Guide, https://www.xenonstack.com/insights/what-are-botnets
18. K. Alieyan, A. Almomani, M. Anbar, M. Alauthman, R. Abdullah, B. B. Gupta, DNS rule-based schema to botnet detection, https://www.tandfonline.com/doi/abs/10.1080/17517575.2019.1644673
19. S. Secgin, Seven Layers of ISO/OSI, https://ieeexplore.ieee.org/abstract/document/10142187/authors#authors
20. B. Serhii, Classification od specialized digital networks for industry, which developed on basis of the can network, https://morethesis.unimore.it/theses/available/etd-01152024-210850/
21. M. Hassan, R. Jain, High Performance TCP/IP Networking Concepts, Issues, and Solu-tions, https://www.cse.wustl.edu/~jain/books/ftp/tcp_fm.pdf
22. J. Postel, User Datagram Protocol, https://www.rfc-editor.org/rfc/rfc768
23. D. E. Comer, Internetworking with TCP/IP, https://dl.acm.org/doi/book/10.5555/2531597
24. S. H. Abbas, W. A. Khuder Naser, A. A. Kadhim, Intrusion Detection System (IDS) and Intrusion Prevention System (IPS), https://gjeta.com/content/subject-review-intrusion-detection-system-ids-and-intrusion-prevention-system-ips
25. A. Singh, D. Juneja, Agent Based Preventive Measure for UDP Flood Attack in DDoS Attacks, https://www.researchgate.net/profile/Aarti-Singh-12/publication/50315626_Agent_Based_Preventive_Measure_for_UDP_Flood_Attack_in_DDoS_Attacks/links/56a9d42508ae2df8216555cc/Agent-Based-Preventive-Measure-for-UDP-Flood-Attack-in-DDoS-Attacks.pdf
26. A. Bijalwan, M. Wazid, E. S. Pilli, R.C. Joshi, Forensics of Random-UDP Flooding At-tacks, https://www.researchgate.net/profile/Anchit-Bijalwan-2/publication/277973948_Forensics_of_Random-UDP_Flooding_Attacks/links/58c56d6e45851538eb8af981/Forensics-of-Random-UDP-Flooding-Attacks.pdf
27. F. D. S. Yama, ICMP (Internet Control Message Protocol), https://ilmukomputer.org/wp-content/uploads/2015/01/yama-icmp.pdf
28. A. S. Mamolar, P. Salvá-García, E. Chirivella-Perez, Z. Pervez, J. M. Alcaraz Calero, Au-tonomic protection of multi-tenant 5G mobile networks against UDP flooding DDoS at-tacks, https://www.sciencedirect.com/science/article/pii/S1084804519302504?casa_token=Mz3wuV4tVRwAAAAA:vrgwe2qHsGSidfmR1BlifE8uOeR67aXuKQHvtHDc4kvojv7-Cf78VyzEidasgegGfcwxOg0cfA
29. Co to jest atak UDP Flood DDoS?, https://loadfocus.com/pl-pl/glossary/what-is-a-udp-flood-ddos-attack
30. W. Eddy, TCP SYN Flooding Attacks and Common Mitigations, https://www.rfc-editor.org/rfc/rfc4987
31. W. M. Eddy, Defenses against TCP SYN flooding attacks, https://www.netconf.co.uk/ipj/ipj_9-4.pdf
32. D. Kshirsagar, S. Sawant, A. Rathod. S. Wathore, CPU Load Analysis & Minimization for TCP SYN Flood Detection, https://www.sciencedirect.com/science/article/pii/S1877050916305786
33. M. Bogdanoski, T. Suminoski, A. Risteski, Analysis of the SYN Flood DoS Attack, https://eprints.ugd.edu.mk/6729/
34. R. Rudewicz, GRE – Generic Routing Encapsulation, https://innasiec.pl/tunel-gre/
35. M. Zakaszewski, Do czego służy Tunel GRE, https://netadminpro.pl/do-czego-sluzy-tunel-gre/
36. C. D. McDermott, F. Majdani, A. V. Petrovski, Botnet Detection in the Internet of Things using Deep Learning Approaches, https://ieeexplore.ieee.org/abstract/document/8489489
37. A. Kumar. T. J. Lim, A Secure Contained Testbed for Analyzing IoT Botnets, https://link.springer.com/chapter/10.1007/978-3-030-12971-2_8
38. A. Praseed, P. S. Thilagam, DDoS Attacks at the Application Layer: Challenges and Re-search Perspectives for Safeguarding Web Applications, https://ieeexplore.ieee.org/abstract/document/8466561
39. B. Ager, W. Mühlbauer, G. Smaragdakis, S. Uhlig, Comparing DNS resolvers in the wild, https://dl.acm.org/doi/abs/10.1145/1879141.1879144
40. L. Jakab, A. Cabellos-Aparicio, F. Coras, D. Saucez, O. Bonaventure, LISP-TREE: A DNS Hierarchy to Support the LISP Mapping System, https://ieeexplore.ieee.org/abstract/document/5586446
41. M. Lyu, H. H. Gharakheili, C. Russell, V. Sivaraman, Hierarchical Anomaly-Based De-tection of Distributed DNS Attacks on Enterprise Networks, https://ieeexplore.ieee.org/abstract/document/9316919
42. X. Luo, L. Wang, Z. Xu, K. Chen, J. Yang, T. Tian, A Large Scale Analysis of DNS Wa-ter Torture Attack, https://dl.acm.org/doi/abs/10.1145/3297156.3297272
43. I. Tarnowski, DNS Water Torture Attack, https://pl.linkedin.com/pulse/dns-water-torture-attack-ireneusz-tarnowski-znrrc?trk=public_post_feed-article-content
44. M. Wójcik, Kategoria: Software – Oprogramowanie, programy, https://technet-media.pl/kategoria/technologia-informacyjna/software-oprogramowanie-programy
45. Szajstek, Oprogramowanie złośliwe - robak komputerowy, https://www.wojsko-polskie.pl/woc/articles/publikacje-r/oprogramowanie-zlosliwe-robak-komputerowy/
46. T. Gierszewski, Malware – złośliwe oprogramowanie w systemach IT/OT, https://www.cire.pl/pliki/2/2017/14_gierszewski_pl_nr_26z.pdf
47. Denisebmsft, American-Dipper, Dansimp, Alekyaj, Sheshachary, Chrisda, V-mathavale, Ashok-Lobo, Przywróć pliki poddane kwarantannie w programie antywirusowym Mi-crosoft Defender, https://learn.microsoft.com/pl-pl/microsoft-365/security/defender-endpoint/restore-quarantined-files-microsoft-defender-antivirus?view=o365-worldwide
48. Analiza złośliwego oprogramowania, https://ramsdata.com.pl/opswat/rozwiazania/analiza-zlosliwego-oprogramowania/
49. S. Liua, P. Fenga, S. Wanga, K. Suna, J. Cao, Enhancing malware analysis sandboxes with emulated user behavior, https://www.sciencedirect.com/science/article/pii/S0167404822000128?casa_token=8cr_UfK9sYUAAAAA:qgm0uz533HGJfOlEd89UUdNk6p_3giu_plNbMWpBp0XGfgCIaIAQFIRP0kWcMZ0d164k8EijtQ
50. P. V. Shijoa, A. Salimb, Integrated static and dynamic analysis for malware detection, https://www.sciencedirect.com/science/article/pii/S1877050915002136
51. J. Gamblin, Mirai-Source-Code / mirai / bot / attack.h, https://github.com/jgamblin/Mirai-Source-Code/blob/3273043e1ef9c0bb41bd9fcdc5317f7b797a2a94/mirai/bot/attack.h#L34
52. The Cyber Kill Chain, https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
53. S. Sławińska, Cyber Kill Chain – co to jest i jak wykorzystać go do powstrzymania zaa-wansowanych ataków, https://seqred.pl/cyber-kill-chain-co-to-jest-i-jak-wykorzystac-go-do-powstrzymania-zaawansowanych-atakow/
54. L. Metongon, R. Sadre. Beyond telnet: Prevalence of iot protocols in telescope and honeypot measurements, Proceedings of the 2018 workshop on traffic measurements for cybersecurity, 2018, https://dl.acm.org/doi/abs/10.1145/3229598.3229604
55. A. Shoemaker, How to Identify a Mirai-Style DDoS Attack, https://www.imperva.com/blog/how-to-identify-a-mirai-style-ddos-attack/
56. Siedem nowych odmian Mirai z aspirującym cyberprzestępcą w tle, https://blog.avast.com/pl/siedem-nowych-odmian-mirai-z-aspiruj%C4%85cym-cyberprzest%C4%99pc%C4%85-w-tle
57. Initial access, https://attack.mitre.org/tactics/TA0001/
58. M. Luoma-aho, Analysis of Modern Malware: obfuscation techniques, (2023), https://www.theseus.fi/bitstream/handle/10024/798038/Opinnaytetyo_Luoma-aho_Mika_YTC19S1.pdf?sequence=2&isAllowed=y
59. H. Mei, G Lin, D. Fang , J. Zhang, Detecting vulnerabilities in IoT software: New hybrid model and comprehensive data analysis." Journal of Information Security and Applica-tions 74 (2023): 103467, https://www.sciencedirect.com/science/article/abs/pii/S2214212623000510?casa_token=RYpItDKgcpIAAAAA:ZlZl0vZ4-uP2LSGeU1G9OSAfWd2bkTmpwkmGiip2Zs1Qx-VQ83J3pJBHaCNZ9d_X3Q7Y4QglcQ
60. P. K. Schultz, Mirai-Source-Code / ForumPost.txt, https://github.com/jgamblin/Mirai-Source-Code/blob/3273043e1ef9c0bb41bd9fcdc5317f7b797a2a94/ForumPost.txt
61. SISSDEN (SECURE INFORMATION SHARING SENSOR DELIVERY EVENT NET-WORK, https://www.nask.pl/pl/dzialalnosc/nauka-i-biznes/projekty-badawcze/2084,Secure-Information-Sharing-Sensor-Delivery-event-Network-SISSDEN.html
62.M. A. Sayed, A. H. Anwar, C. Kiekintveld, C. Kamhoua, Honeypot Allocation for Cyber Deception in Dynamic Tactical Networks: A Game Theoretic Approach, https://link.springer.com/chapter/10.1007/978-3-031-50670-3_10
63. Vulnerability Details : CVE-2017-17215, https://www.cvedetails.com/cve/CVE-2017-17215/
64. Vulnerability Details : CVE-2014-8361, https://www.cvedetails.com/cve/CVE-2014-8361/
65. Source Code of IoT Botnet Satori Publicly Released on Pastebin, Ties://www.trendmicro.com/vinfo/it/security/news/internet-of-things/source-code-of-iot-botnet-satori-publicly-released-on-pastebin
66. Unit 42: Intelligence driven, response ready, https://www.paloaltonetworks.com/unit42/about
67. H. Zhang, V. Singhal, Z. Zhang. J. Du, Satori: Mirai Botnet Variant Targeting Vantage Velocity Field Unit RCE Vulnerability, https://unit42.paloaltonetworks.com/satori-mirai-botnet-variant-targeting-vantage-velocity-field-unit-rce-vulnerability/
68. L. Arsene, Hide and Seek IoT Botnet Learns New Tricks: Uses ADB over Internet to Ex-ploit Thousands of Android Devices, https://www.bitdefender.co.uk/blog/labs/hide-and-seek-iot-botnet-learns-new-tricks-uses-adb-over-internet-to-exploit-thousands-of-android-devices/
69. A. Șendroiu, V. Diaconescu, Hide'n'Seek: an adaptive peer-to-peer IoT botnet, https://www.youtube.com/watch?v=d2-2VRxBqEA&t=1348s
70. https://cert.pl/uploads/2019/05/Raport_CP_2018.pdf
71. T. Armerding, In an IoT-filled world, be alert in the wake of ‘Hide and Seek’, https://www.synopsys.com/blogs/software-security/hide-and-seek-botnet-iot.html
72. Vulnerability Details : CVE-2017-11467, https://www.cvedetails.com/cve/CVE-2017-11467/
73. Vulnerability Details : CVE-2017-12636, https://www.cvedetails.com/cve/CVE-2017-12636/
74. A NEW IOT BOTNET STORM IS COMING, https://research.checkpoint.com/2017/new-iot-botnet-storm-coming/
75. T. Spring, Hackers Prepping IOTroop Botnet with Exploits, https://threatpost.com/hackers-prepping-iotroop-botnet-with-exploits/128608/
76. Podatności wykorzystywane przez botnet IoTroop/Reaper, https://cert.pl/uploads/docs/Raport_CP_2017.pdf
77. R. Dziemianko, Ataki APT: cicha inwazja cybernetyczna na światowe instytucje, https://gdata.pl/ataki-apt
78. Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard, https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/
79. Strona internetowa organizacji OWASP, https://owasp.org/
80. Projekt OWASP Top 10 Internet of Things, https://owasp.org/www-project-internet-of-things/
81. W. Smol, CrackStation udostępnia ogromny słownik haseł, https://sekurak.pl/crackstation-udostepnia-ogromny-slownik-hasel/
82. Ch. Choi, (Part 2) Key security vulnerabilities in IoT environment and how to effectively counteract them, https://www.swidch.com/blogs/key-security-vulnerabilities-in-iot-environment-and-how-to-effectively-counteract-them-part-2
83. The OWASP IoT top 10 vulnerabilities and how to mitigate tchem, https://www.sisainfosec.com/blogs/the-owasp-iot-top-10-vulnerabilities-and-how-to-mitigate-them/
84. G. Basatwar, Guide To OWASP IoT Top 10 For Proactive Security, https://www.appsealing.com/owasp-iot-top-10/
85. h. Choi, (Part 3) Key security vulnerabilities in IoT environment and how to effectively counteract them, https://www.swidch.com/blogs/key-security-vulnerabilities-in-iot-environment-and-how-to-effectively-counteract-them-part-3
86. Ustawa o sztucznej inteligencji, https://digital-strategy.ec.europa.eu/pl/policies/regulatory-framework-ai
87. Ochrona danych zgodnie z RODO, https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_pl.htm
88. 1,2 mld kary dla Facebooka, co dalej z portalem?, https://gdpr.pl/12-mld-kary-dla-facebooka-co-dalej-z-portalem
89. M. Stachoń, Data act coraz bliżej, https://cyberpolicy.nask.pl/aktualnosci/data-act-coraz-blizej/
90. Ustawa o danych, https://digital-strategy.ec.europa.eu/pl/policies/data-act
91. M. Dzięciołowski, J. Ostrowska, Co to jest Internet Rzeczy (IoT)? Jak regulacje unijne wpływają na IoT?, https://www.ey.com/pl_pl/law/internet-rzeczy-co-to-jest-iot
92. The European Cyber Resilience Act (CRA), https://www.european-cyber-resilience-act.com/
93. S. Sinha, State of IoT 2023: Number of connected IoT devices growing 16% to 16.7 billion globally, https://iot-analytics.com/number-connected-iot-devices/

Uwagi

Opracowanie rekordu ze środków MNiSW, umowa nr POPUL/SP/0154/2024/02 w ramach programu "Społeczna odpowiedzialność nauki II" - moduł: Popularyzacja nauki (2025).

Typ dokumentu

Bibliografia

Identyfikator YADDA

bwmeta1.element.baztech-112b4a34-c378-4d0d-9232-cb0ec98efc61