Как проверить, заражены ли мои устройства IoT червем Mirai?

27

Недавно я слышал о черве Mirai , который заражает уязвимые маршрутизаторы, устройства IoT и другие устройства, подключенные к Интернету, с помощью незащищенных паролей. Mirai подозревается в том, что он является причиной некоторых из крупнейших DDoS-атак в истории :

По оценкам Дина, в атаке участвовало «100 000 злонамеренных конечных точек», а компания, которая все еще расследует эту атаку, сообщила, что были сообщения о необычайной силе атаки в 1,2 Тбит / с.

Вопрос Могу ли я контролировать свою сеть на предмет мошеннической активности IoT-устройства? предоставляет несколько полезных общих советов по обнаружению вредоносного ПО в моей сети IoT, но как я могу проверить , заражены ли мои устройства вредоносным ПО? Incapsula предоставляет инструмент для запуска, который может сканировать устройства, уязвимые для Mirai, но есть ли способ автономно проверить, заражены ли какие-либо устройства в моей сети (или обеспечить защиту в режиме реального времени), чтобы мне не приходилось продолжать инструмент, когда я помню?

Аврора0001
источник

Ответы:

17

Обнаружение зараженного устройства

Эти устройства, превращенные в ботнет, по-прежнему будут работать правильно для ничего не подозревающего владельца, за исключением случайной медленной полосы пропускания, и их поведение ботнета может остаться незамеченным бесконечно.

Webroot.com: выпущен исходный код вредоносного ПО Mirai IoT

Это говорит нам о том, как устройство меняет свое поведение. К сожалению, случайная медленная пропускная способность - действительно плохой показатель, который нужно искать. Другая вещь, которую Mirai делает, это блокирует порты, чтобы избежать инструментов мониторинга, чтобы обнаружить это.

Эти две функции можно искать. Первое требует очень сложного решения для мониторинга сетевого трафика и сложных знаний о том, какой трафик вы ожидаете в своей сети. Если ваше устройство IoT не обменивается данными через соединение WiFi, но через 3G или другие стандарты мобильной связи, вам не повезло, потому что вы не можете их контролировать. По крайней мере, нелегко и в большинстве юрисдикций не легально.

Вторая особенность Mirai - это то, на что сканирует Incapsula. Если порты закрыты, возможна инфекция Mirai. Поскольку перезагрузка временно освобождает устройство от сцеплений Mirai, изменение доступности порта во время после перезагрузки может рассматриваться как очень вероятный признак того, что устройство было взломано.

Имейте в виду, что Incapsula не обеспечивает определенности, а только предоставляет вашу информацию об устройствах, которые являются возможными целями, и устройствах, которые могли быть заражены. Вот почему важно понимать, что Mirai, какими бы мощными атаками он ни подвергался, не является непобедимым врагом в небольшом масштабе, его даже легко предотвратить инфекциями.

В следующих двух разделах будет показано, что обнаружение - это слишком большое усилие по сравнению с обеспечением безопасности устройства в первую очередь или защитой вашего устройства.

Захват вашего устройства

Однако Mirai выступает в качестве конечной точки для бот-сети, и червь не меняет постоянную память устройства IoT. Т.е. прошивка не заражена. Это причина, по которой перезагрузка и немедленная смена пароля возвращают вам контроль над вашим устройством.

Зараженные системы можно очистить, перезагрузив их, но поскольку сканирование этих устройств происходит с постоянной скоростью, их можно повторно заразить в течение нескольких минут после перезагрузки. Это означает, что пользователи должны изменить пароль по умолчанию сразу после перезагрузки или запретить устройству доступ к Интернету, пока они не смогут сбросить прошивку и изменить пароль локально.

Webroot.com: выпущен исходный код вредоносного ПО Mirai IoT

Предотвращение компрометации в первую очередь

Mirai не взламывает ваши устройства!

Mirai постоянно сканирует Интернет на наличие устройств IoT и входит в них, используя заводские настройки по умолчанию или жестко запрограммированные имена пользователей и пароли.

Webroot.com: выпущен исходный код вредоносного ПО Mirai IoT

Mirai использует заводские логины по умолчанию для компрометации ваших устройств. Измените пароль, прежде чем впервые подключить свое IoT-устройство к Интернету, и вы будете жить в свободной зоне Mirai.

Если пароль вашего устройства нельзя изменить, и это потенциальная цель Mirai, подумайте о переходе на соревнования.

Хельмар
источник
6

Если в вашей сети есть какие-либо уязвимые устройства, вы должны предположить, что они скомпрометированы. По определению учетные данные для входа являются общедоступными, и я полагаю, что вы должны предположить, что прошивка была подделана. Не нужно ждать, чтобы наблюдать за связью с сервером командного управления или вредоносной активностью.

Очистите устройство сейчас, убедитесь, что вы даете каждому новому устройству новый пароль, и сканируйте его при установке.

Возможно, подтекст заключается в том, как сканировать недавно обнаруженные уязвимости удаленного доступа на существующих устройствах, но я не читаю вопрос как задающий этот вопрос.

Шон Хулихейн
источник
6

Вместо того, чтобы искать автономное решение. Вы можете попробовать автоматизировать инструмент Incapsula. К сожалению, это услуга, доступная через кнопку веб-страницы, поэтому вы должны открыть эту страницу и нажать кнопку автономно.

Из исходного кода страницы вы можете получить информацию о самой кнопке.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Поэтому, возможно, с помощью скрипта вы можете создать периодически запускаемую задачу, которая открывает сайт , находит кнопку по идентификатору, нажимает на нее и запускает сканирование.

Я не знаю точного способа сделать это, но, возможно, можно использовать пакет Selenium или Mechanize Python .

Бенс Кауликс
источник
3

Mirai атакует встроенный Linux. Сначала вам нужно получить доступ из командной строки к вашему устройству IoT. После этого вы можете проверить контрольные суммы файловой системы, доступной только для чтения, и сравнить их с чистыми версиями прошивки. Иногда у компаний есть оригинальная прошивка онлайн, или вы можете связаться с ними для получения копии. Если вы хотите понять, как прошивка обычно упаковывается, предлагаю заглянуть в программу Binwalk. OpenWrt имеет хорошую документацию по флэш-памяти. При прошивке / перепрошивке прошивки на устройстве IoT разделы прошивки (ядро, корневая файловая система только для чтения, доступный для записи раздел конфигурации) хранятся в разделах MTD на флэш-чипе IoT. Вы можете скопировать / загрузить эти разделы (/ dev / mtdblock1 - пример linux) и сравнить их с оригинальной прошивкой через контрольные суммы. Если вы боитесь руткита и не доверяете командной строке,

GusGorman402
источник
1
Проверять прошивку через доступ из командной строки бессмысленно. Как только устройство взломано, вы не можете доверять тому, что видите в командной строке. Читать справку! Мой домашний компьютер был заражен вирусом! Что мне теперь делать? - написано о ПК, но относится к любому компьютеру, включая устройства IoT.
Жиль "ТАК - перестань быть злым"