Làm cách nào để kiểm tra xem các thiết bị IoT của tôi có bị nhiễm sâu Mirai không?

27

Gần đây tôi đã nghe nói về sâu Mirai , lây nhiễm các bộ định tuyến dễ bị tổn thương, thiết bị IoT và các thiết bị kết nối internet khác với mật khẩu không an toàn. Mirai bị nghi ngờ là nguyên nhân của một số vụ tấn công DDoS lớn nhất trong lịch sử :

Dyn ước tính rằng cuộc tấn công có sự tham gia của 100.000 100.000 điểm cuối nguy hiểm, và công ty vẫn đang điều tra vụ tấn công này cho biết đã có báo cáo về sức mạnh tấn công phi thường là 1,2Tb / giây.

Câu hỏi Tôi có thể giám sát mạng của mình để biết hoạt động của thiết bị IoT giả mạo không? cung cấp một số mẹo chung hữu ích để phát hiện phần mềm độc hại trên mạng IoT của tôi, nhưng làm cách nào để kiểm tra xem thiết bị của tôi có bị nhiễm phần mềm độc hại không? Incapsula cung cấp một công cụ để chạy mà có thể quét cho các thiết bị dễ bị Mirai, nhưng là có một cách độc lập kiểm tra nếu có các thiết bị trên mạng của tôi bị nhiễm (hoặc cung cấp bảo vệ thời gian thực) vì vậy mà tôi không cần phải tiếp tục chạy các Công cụ khi tôi nhớ?

security networking mirai

— Aurora0001
nguồn

17

Phát hiện thiết bị bị nhiễm

Các botnet biến thiết bị này vẫn sẽ hoạt động chính xác cho chủ sở hữu không nghi ngờ, ngoài băng thông chậm chạp thường xuyên và hành vi botnet của họ có thể không được chú ý vô thời hạn.

Webroot.com: Mã nguồn cho phần mềm độc hại Mirai IoT được phát hành

Điều này cho chúng ta biết làm thế nào thiết bị thay đổi hành vi của nó. Không may băng thông chậm chạp không may là một chỉ số thực sự xấu cần chú ý. Một điều khác Mirai làm là chặn các cổng để tránh các công cụ giám sát để phát hiện ra nó.

Hai tính năng này có thể được tìm kiếm. Đầu tiên cần một giải pháp giám sát lưu lượng mạng rất tinh vi và kiến thức phức tạp về loại lưu lượng truy cập mà bạn mong đợi trong mạng của mình. Nếu thiết bị IoT của bạn không giao tiếp qua kết nối WiFi nhưng qua 3G hoặc các tiêu chuẩn viễn thông di động khác, bạn sẽ gặp khá nhiều may mắn vì bạn không thể theo dõi chúng. Ít nhất là không dễ dàng và trong hầu hết các khu vực pháp lý không hợp pháp.

Tính năng Mirai thứ hai là thứ mà Incapsula cũng quét. Nếu các cổng được đóng lại có khả năng bị nhiễm Mirai. Vì việc khởi động lại tạm thời giải phóng thiết bị khỏi bộ ly hợp của Mirai, sự thay đổi về tính khả dụng của cổng trong thời gian sau khi khởi động lại có thể được coi là một dấu hiệu rất có thể cho thấy thiết bị đã bị xâm phạm.

Hãy nhớ rằng, Incapsula không cung cấp sự chắc chắn mà chỉ cung cấp thông tin của bạn về các thiết bị có thể là mục tiêu và thiết bị có thể đã bị nhiễm. Đây là lý do tại sao điều quan trọng là phải nhận ra rằng Mirai tuy tấn công mạnh mẽ nhưng nó có thể tấn công nó không phải là kẻ thù vô địch trên phạm vi nhỏ, thậm chí còn dễ dàng ngăn ngừa nhiễm trùng.

Hai phần tiếp theo sẽ cho thấy việc phát hiện là quá nhiều nỗ lực so với việc bảo vệ thiết bị ở nơi đầu tiên hoặc bảo vệ thiết bị của bạn theo linh cảm.

Lấy lại thiết bị của bạn

Tuy nhiên, Mirai hoạt động như một điểm kết thúc cho mạng bot và con sâu không thay đổi bộ nhớ liên tục của thiết bị IoT. Tức là phần sụn không bị nhiễm. Đây là lý do tại sao khởi động lại và thay đổi mật khẩu ngay lập tức cho phép bạn kiểm soát lại thiết bị của mình.

Các hệ thống bị nhiễm có thể được làm sạch bằng cách khởi động lại chúng, nhưng vì việc quét các thiết bị này xảy ra với tốc độ không đổi, nên chúng có thể được tái sử dụng trong vòng vài phút sau khi khởi động lại. Điều này có nghĩa là người dùng phải thay đổi mật khẩu mặc định ngay sau khi khởi động lại hoặc ngăn thiết bị truy cập internet cho đến khi họ có thể đặt lại chương trình cơ sở và thay đổi mật khẩu cục bộ.

Webroot.com: Mã nguồn cho phần mềm độc hại Mirai IoT được phát hành

Ngăn chặn bị xâm phạm ngay từ đầu

Mirai không hack thiết bị của bạn!

Mirai liên tục quét internet cho các thiết bị IoT và đăng nhập vào chúng bằng cách sử dụng tên người dùng và mật khẩu mặc định hoặc mã hóa cứng.

Webroot.com: Mã nguồn cho phần mềm độc hại Mirai IoT được phát hành

Mirai sử dụng thông tin đăng nhập mặc định của nhà máy để thỏa hiệp các thiết bị của bạn. Thay đổi mật khẩu trước khi cho thiết bị IoT của bạn bất kỳ kết nối Internet nào lần đầu tiên và bạn sẽ sống trong vùng miễn phí Mirai.

Nếu mật khẩu thiết bị của bạn không thể thay đổi và đó là mục tiêu Mirai tiềm năng, hãy cân nhắc chuyển sang cạnh tranh.

— Helmar
nguồn

6

Nếu bạn có bất kỳ thiết bị dễ bị tổn thương nào trên mạng của mình, bạn nên cho rằng chúng bị xâm nhập. Theo định nghĩa, thông tin đăng nhập là công khai và tôi tin rằng bạn cần giả định phần sụn đã bị giả mạo. Không cần phải chờ để quan sát giao tiếp với máy chủ kiểm soát lệnh hoặc hoạt động độc hại.

Làm sạch thiết bị ngay bây giờ, đảm bảo bạn cung cấp cho mọi thiết bị mới một mật khẩu mới và quét nó khi cài đặt.

Có thể nội dung chính là cách quét các lỗ hổng truy cập từ xa mới được phát hiện trên các thiết bị hiện có, nhưng tôi không đọc câu hỏi như hỏi cụ thể.

— Sean Houlihane
nguồn

6

Thay vì tìm kiếm một giải pháp tự trị. Bạn có thể thử tự động hóa công cụ của Incapsula. Thật không may, đây là một dịch vụ có sẵn thông qua nút trang web, vì vậy bạn phải mở trang đó và nhấp vào nút đó một cách tự động.

Từ nguồn trang, bạn có thể có được thông tin về chính nút đó.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Vì vậy, có thể với một tập lệnh, bạn có thể tạo một tác vụ đang chạy định kỳ mở trang web , tìm nút bằng ID và nhấp vào nó và chạy quét.

Tôi không biết cách chính xác để làm điều này, nhưng có thể sử dụng gói Selenium hoặc Mechanize Python .

— Bence Kaulics
nguồn

3

Mirai tấn công nhúng linux. Trước tiên, bạn cần có quyền truy cập dòng lệnh vào thiết bị IoT của mình. Sau đó, bạn có thể kiểm tra tổng kiểm tra của hệ thống tệp chỉ đọc và so sánh chúng với các phiên bản phần sụn sạch. Đôi khi các công ty có chương trình cơ sở gốc trực tuyến hoặc bạn có thể liên hệ với họ để nhận bản sao. Nếu bạn muốn hiểu phần mềm thường được đóng gói như thế nào, tôi khuyên bạn nên xem xét chương trình Binwalk. OpenWrt có tài liệu tốt về bộ nhớ flash. Khi bạn flash / flash firmware vào thiết bị IoT, các phần của phần sụn (kernel, chỉ đọc hệ thống tập tin gốc, phần cấu hình có thể ghi) được lưu trữ trong các phân vùng MTD trên chip flash của IoT. Bạn có thể sao chép / tải xuống các phân vùng này (/ dev / mtdblock1 là ví dụ linux) và so sánh chúng với firmware gốc, thông qua tổng kiểm tra. Nếu bạn sợ rootkit và không tin tưởng dòng lệnh,

— GusGorman402
nguồn

1

Kiểm tra phần sụn thông qua truy cập dòng lệnh là vô nghĩa. Khi thiết bị bị xâm phạm, bạn không thể tin tưởng vào những gì bạn thấy trên dòng lệnh. Đọc Trợ giúp! PC nhà tôi đã bị nhiễm virus! Tôi làm gì bây giờ? - nó được viết về PC nhưng nó được áp dụng cho bất kỳ máy tính nào kể cả thiết bị IoT.

— Gilles 'SO- ngừng trở nên xấu xa'