Як я можу перевірити, чи мої пристрої IoT заражені черв'яком Mirai?

27

Нещодавно я чув про черв'яка Mirai , який заражає вразливі маршрутизатори, пристрої IoT та інші пристрої, підключені до Інтернету, небезпечними паролями. Мірая підозрюють, що він був причиною деяких найбільших DDoS-атак в історії :

Дін підрахував, що в атаці було задіяно "100 000 зловмисних кінцевих точок", і компанія, яка досі розслідує напад, заявила, що повідомлялося про надзвичайну силу нападу - 1,2 Тбіт / с.

Питання Чи можу я відстежувати свою мережу за активністю пристроїв IoT? пропонують деякі корисні загальні поради для плямистості шкідливих програм на моїй мережу IoT, але як я можу перевірити , якщо мої пристрої будуть заражені шкідливим? Incapsula надає інструмент для запуску, який може перевіряти пристрої, вразливі до Mirai, але чи є спосіб автономної перевірки, чи якісь пристрої в моїй мережі заражені (або забезпечують захист у режимі реального часу), щоб мені не довелося продовжувати працювати інструмент, коли я згадую?

security  networking  mirai 
Aurora0001
джерело

Відповіді:

17

Виявлення зараженого пристрою

Ці пристрої, що перетворилися на ботнет, все ще будуть функціонувати правильно для нічого не підозрюючого власника, крім випадкової млявої пропускної здатності, і їх поведінка ботнету може залишатися непоміченою на невизначений термін.

Webroot.com: Випущено вихідний код для зловмисного програмного забезпечення Mirai IoT

Це говорить нам про те, як пристрій змінює свою поведінку. Іноді млява пропускна здатність , на жаль, є дійсно поганим показником для пошуку. Інша річ, яку робить Мірай, - це блокувати порти, щоб уникнути інструментів моніторингу для їх виявлення.

Ці дві особливості можна шукати. Перший потребує дуже складного рішення для моніторингу мережевого трафіку та складних знань про те, який трафік ви очікуєте у вашій мережі. Якщо ваш пристрій IoT не спілкується через підключення Wi-Fi, але понад 3G або інші стандарти мобільного зв'язку, вам майже не пощастило, оскільки ви не можете їх контролювати. Принаймні, не легко і в більшості юрисдикцій не на законних підставах.

Друга особливість Мірая - те, на що також сканує Інкапсула. Якщо порти закриті, можлива інфекція Міраї. Оскільки перезавантаження тимчасово звільняє пристрій від затискань Mirai, зміна наявності портів у часі після перезавантаження може сприйматися як дуже ймовірний знак того, що пристрій було порушено.

Майте на увазі, що Incapsula не забезпечує впевненості, а лише надає інформацію про пристрої, які є можливими цілями, та пристрої, які могли бути заражені. Ось чому важливо усвідомити, що Міраї, як би потужні атаки не могли перемогти його, не є непереможним ворогом у невеликому масштабі, навіть легко запобігти зараженню.

У наступних двох розділах буде показано, що виявлення - це занадто багато зусиль у порівнянні з безпекою пристрою в першу чергу або надійним захистом вашого пристрою.

Відновлення пристрою

Однак Mirai виступає в якості кінцевої точки для ботової мережі, і черв'як не змінює стійку пам'ять пристрою IoT. Тобто прошивка не заражена. Це причина, чому перезавантаження та негайна зміна пароля дає вам зворотний контроль над своїм пристроєм.

Заражені системи можна очистити, перезавантаживши їх, але оскільки сканування цих пристроїв відбувається з постійною швидкістю, їх можна повторно заразити протягом декількох хвилин після перезавантаження. Це означає, що користувачі повинні змінити пароль за замовчуванням відразу після перезавантаження або не допустити доступу пристрою до Інтернету, поки вони не зможуть скинути мікропрограмне забезпечення та змінити локальний пароль.

Webroot.com: Випущено вихідний код для зловмисного програмного забезпечення Mirai IoT

У першу чергу запобігайте компромісу

Mirai не зламає ваші пристрої!

Mirai постійно сканує Інтернет на пристрої IoT та входить у них, використовуючи фабричні за замовчуванням або жорстко кодовані імена користувачів та паролі.

Webroot.com: Випущено вихідний код для зловмисного програмного забезпечення Mirai IoT

Для компрометації ваших пристроїв Mirai використовує фабричні входи за замовчуванням. Змініть пароль, перш ніж вперше надати пристрою IoT будь-яке з'єднання з Інтернетом, і ви живете у вільній зоні Мірая.

Якщо пароль вашого пристрою неможливо змінити, і це потенційна ціль Mirai, подумайте про перехід на змагання.

Гельмар
джерело
6

Якщо у вас є будь-які вразливі пристрої у вашій мережі, слід припустити, що вони порушені. За визначенням, облікові дані для входу є загальнодоступними, і я вважаю, що вам потрібно припустити, що прошивка була підроблена. Не потрібно чекати, щоб спостерігати за зв’язком із сервером командно-керуючого чи зловмисною діяльністю.

Очистіть пристрій зараз, переконайтеся, що ви надаєте кожному новому пристрою новий пароль та скануйте його під час встановлення.

Можливо, підтекст полягає в тому, як відшукати нещодавно виявлені вразливості віддаленого доступу на існуючих пристроях, але я не читаю питання, як це конкретно запитують.

Шон Хуліхане
джерело
6

Замість пошуку автономного рішення. Ви можете спробувати автоматизувати інструмент Incapsula. На жаль, це сервіс, доступний за допомогою кнопки веб-сторінки, тому ви повинні відкрити цю сторінку та натиснути кнопку автоматично.

З джерела сторінки можна отримати інформацію про саму кнопку.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Тож, можливо, за допомогою сценарію ви зможете створити періодично запущене завдання, яке відкриє сайт , знайде кнопку за ідентифікатором і натисне на неї та запустить сканування.

Я не знаю точного способу цього, але, можливо, може бути використаний пакунок Selenium або Mechanize Python .

Бенс Каулікс
джерело
3

Мірайські атаки вбудовують Linux. Спочатку вам потрібно буде отримати доступ командного рядка до свого пристрою IoT. Після цього ви можете перевірити контрольні суми файлової системи лише для читання та порівняти їх з чистими версіями прошивки. Інколи компанії мають оригінальну прошивку в Інтернеті, або ви можете зв’язатися з ними для отримання копії. Якщо ви хочете зрозуміти, як зазвичай вбудована вбудована програма, пропоную заглянути в програму Binwalk. OpenWrt має хорошу документацію щодо флеш-пам’яті. Під час прошивки / перепрошивки мікропрограмного забезпечення на пристрої IoT, розділи мікропрограмного забезпечення (ядро, лише коренева файлова система, розділ конфігурації, що записується) зберігаються в розділах MTD на флеш-чіпі IoT. Ви можете скопіювати / завантажити ці розділи (/ dev / mtdblock1 - приклад Linux) та порівняти їх з оригінальною прошивкою через контрольні суми. Якщо ви боїтесь руткіта і не довіряєте командному рядку,

GusGorman402
джерело
1
Перевірка мікропрограмного забезпечення через доступ до командного рядка є безглуздим. Після того, як пристрій порушено, ви не можете довіряти тому, що бачите в командному рядку. Прочитайте довідку! Мій домашній ПК був заражений вірусом! Що я зараз роблю? - це написано на ПК, але це стосується будь-якого комп'ютера, включаючи пристрої IoT.
Жил "ТАК - перестань бути злим"
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.