بدافزار Mirai چیست و چگونه کار می کند

Mirai یکی از معروف‌ترین بدافزارهای IoT (Internet of Things) است که برای نخستین‌بار در سال 2016 شناسایی شد. این بدافزار با هدف آلوده‌سازی دستگاه‌های متصل به....

انتشار: , زمان مطالعه: 3 دقیقه
بدافزار Mirai چیست و چگونه کار می کند
دسته بندی: امنیت سایبری تعداد بازدید: 97

لیست مطالب

Mirai یکی از معروف‌ترین بدافزارهای IoT (Internet of Things) است که برای نخستین‌بار در سال 2016 شناسایی شد. این بدافزار با هدف آلوده‌سازی دستگاه‌های متصل به اینترنت با سطح امنیت پایین طراحی شد، تا از آن‌ها برای انجام حملات DDoS (Distributed Denial of Service) بهره ببرد. Mirai به‌عنوان یک تهدید جدی برای امنیت سایبری زیرساخت‌های متصل به اینترنت شناخته می‌شود و مطالعه آن برای متخصصان امنیت اطلاعات بسیار اهمیت دارد.

نام "Mirai" یک واژه ژاپنی (未来) به معنای "آینده" است. در زبان ژاپنی به صورت "می‌رای" /ˈmiː.raɪ/ تلفظ می‌شود. 

ساختار و عملکرد فنی Mirai

Mirai با استفاده از روش‌هایی بسیار ساده اما مؤثر عمل می‌کند. در ادامه، ساختار و روند عملکرد آن به‌صورت فنی توضیح داده می‌شود:

1. پویش (Scanning)

پس از اجرای بدافزار بر روی یک دستگاه آلوده، Mirai به‌صورت فعال شبکه را برای یافتن سایر دستگاه‌های IoT با پورت‌های باز TCP مانند 23 (Telnet) و 22 (SSH) پویش می‌کند.

2. Brute-force لاگین

بدافزار تلاش می‌کند با استفاده از یک لیست از نام‌های کاربری و گذرواژه‌های پیش‌فرض (default credentials) یا ضعیف، به سیستم هدف وارد شود. بسیاری از دستگاه‌های IoT به دلیل ضعف امنیتی هنوز از این رمزها استفاده می‌کنند.

3. آلودگی و عضویت در Botnet

پس از نفوذ موفق، بدافزار یک نسخه از خود را بر روی دستگاه کپی کرده و آن را به شبکه‌ی Botnet اضافه می‌کند. این دستگاه‌ها سپس آماده دریافت دستور از سرور فرمان و کنترل (C2 – Command & Control) هستند.

4. اجرای حملات

Mirai از دستگاه‌های آلوده برای راه‌اندازی حملات DDoS استفاده می‌کند. این حملات با ارسال درخواست‌های انبوه به سمت یک سرور یا هدف خاص، باعث قطع یا کاهش شدید دسترسی به سرویس‌های اینترنتی می‌شوند.

 

قابلیت‌های فنی Mirai

  • استفاده از تکنیک‌های obfuscation برای پنهان‌سازی کد.

  • پاک‌سازی دستگاه از سایر بدافزارهای رقیب (process killer).

  • استفاده از Watchdog برای حفظ اتصال به سرور C2.

  • بهره‌گیری از تکنیک‌های مختلف DDoS نظیر:

    • UDP Flood

    • TCP SYN Flood

    • HTTP GET Flood

تأثیرات و نمونه حملات معروف

در سال 2016، Mirai در یکی از بزرگ‌ترین حملات DDoS تاریخ مورد استفاده قرار گرفت که طی آن سرویس DNS شرکت Dyn هدف قرار گرفت و موجب قطع دسترسی به سایت‌های بزرگی چون GitHub، Twitter، Netflix و Reddit شد.

تحلیل کد منبع Mirai

کد منبع Mirai در سپتامبر 2016 توسط نویسنده اصلی آن در Hackforums منتشر شد. این اقدام باعث شد نسخه‌های متنوعی از آن با تغییرات جزئی به وجود آید. ساختار کلی کد به زبان C نوشته شده و بخش‌های کلیدی آن عبارتند از:

  • bot/main.c : منطق اصلی bot

  • loader/ : ماژولی برای تزریق کد به دستگاه هدف

  • scanner.c : پیاده‌سازی الگوریتم پویش و brute-force

  • attack.c : تنظیمات حملات مختلف

راهکارهای مقابله با Mirai

  • تغییر گذرواژه‌های پیش‌فرض در تمامی دستگاه‌های IoT.

  • بستن پورت‌های Telnet و SSH برای دسترسی‌های خارجی.

  • استفاده از فایروال و IDS/IPS.

  • به‌روزرسانی مستمر firmware دستگاه‌ها.

  • استفاده از تکنیک‌های hardening امنیتی.

 

دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)

تعداد 2 دیدگاه ثبت شده
امیرحسین غنمی می گه: زمان ثبت: 4 هفته پیش

سلام آقای شفیعی
استاد نمیشه یک مقاله خفن و کامل درباره ASCII ART درست بکنید و اینکه چگونگی اینکه تیم های بزرگی مثل متااسپلویت یک همچین بنر های خفنی رو درست میکنن هم صحبت کنید؟🙏

پاسخ

ابراهیم شفیعی در جواب امیرحسین غنمی می گه: زمان ثبت: 4 هفته پیش

سلام و عرض ادب . بله حتما . طی روزهای آتی حتماً منتشر می شه . 

پاسخ