Sẽ thay đổi tên người dùng và mật khẩu chặn các cuộc tấn công Mirai?

Gần đây tôi đã đọc về Mirai , phần mềm độc hại có nguồn đã được tiết lộ được thiết kế để lây nhiễm các thiết bị IoT. Nó dường như là một mối đe dọa nghiêm trọng đối với các thiết bị Internet of Things bị xâm phạm bảo mật. Theo Wikipedia :

Mirai (tiếng Nhật nghĩa là "tương lai") là phần mềm độc hại biến các hệ thống máy tính chạy Linux thành "bot" được điều khiển từ xa, có thể được sử dụng như một phần của mạng botnet trong các cuộc tấn công mạng quy mô lớn. Nó chủ yếu nhắm vào các thiết bị tiêu dùng trực tuyến như máy ảnh từ xa và bộ định tuyến gia đình. Mạng botnet Mirai đã được sử dụng trong một số cuộc tấn công từ chối dịch vụ phân tán (DDoS) lớn nhất và đột phá nhất, bao gồm một cuộc tấn công vào ngày 20 tháng 9 năm 2016 trên trang web của nhà báo an ninh máy tính Brian Krebs, một cuộc tấn công vào máy chủ web OVH của Pháp và tháng 10 năm 2016 Dyn tấn công mạng.

Bài báo (và những người khác tôi đã đọc trực tuyến) cho thấy Mirai thực hiện cuộc tấn công bằng cách truy cập internet cho các thiết bị đang sử dụng tên người dùng và mật khẩu mặc định của nhà máy từ cơ sở dữ liệu. Vậy thì, chỉ cần thay đổi tên người dùng và mật khẩu của bạn trên thiết bị IoT là đủ? Điều đó sẽ bảo vệ nó khỏi cuộc tấn công Mirai, hay Mirai có phương pháp nào khác để thực hiện nó không?

Lưu ý: Tôi không hỏi làm thế nào để biết thiết bị của mình có bị nhiễm hay không: Tôi đang hỏi liệu việc thay đổi mật khẩu có đủ để ngăn ngừa lây nhiễm hay không.

Mã nguồn của Mirai đã được phát hành công khai và Jerry Gamblin đã vui lòng tạo một kho lưu trữ GitHub để bạn có thể dễ dàng xem qua mã cho các mục đích nghiên cứu / học thuật như thế này.

Tôi nghĩ rằng bạn sẽ nhận được câu trả lời có thẩm quyền nhất bằng cách mổ xẻ mã để tìm hiểu làm thế nào Mirai tìm thấy mục tiêu của nó, vì vậy tôi đã có một cái nhìn xung quanh và đây là những gì tôi tìm thấy:

1. Có 61 kết hợp tên người dùng / mật khẩu duy nhất mà Mirai được lập trình (chúng được mã hóa cứng) .

2. Máy quét chỉ tìm kiếm trên một tập hợp các mạng con giới hạn để tìm mục tiêu . Đó là: 127.0.0.0/8, 0.0.0.0/8, 3.0.0.0/8, 15.0.0.0/7, 56.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/14 , 100.64.0.0/10, 169.254.0.0/16, 198.18.0.0/15, 224 .. . * +, {6, 7, 11, 21, 22, 26, 28, 29, 30, 33, 55, 214, 215} .0.0.0 / 8. Tôi đã nhóm nhóm khối cuối cùng bởi vì tất cả các khối này được gắn nhãn là "Bộ Quốc phòng" trong các nhận xét về mã.

3. Mirai thực hiện quét SYN khá nguyên thủy để thử và tìm xem có cổng nào được mở không. Nếu bạn không quen với cách quét SYN hoạt động, về cơ bản chúng liên quan đến việc gửi gói TCP SYN , đây là quá trình bình thường để bắt đầu kết nối TCP. Kẻ tấn công sau đó chờ đợi với hy vọng nhận được gói tin SYN-ACK, điều này sẽ xác nhận rằng mục tiêu đang lắng nghe trên cổng được chỉ định. Bạn có thể đọc thêm về quá trình trên Wikipedia .

4. Bất kỳ mục tiêu nào phản hồi với SYN-ACK đều được thêm vào danh sách các nạn nhân tiềm năng .

5. Mirai chọn một mật khẩu để thử bán ngẫu nhiên , sử dụng một số loại hệ thống trọng số và cố gắng kết nối bằng cách sử dụng mật khẩu đó .

6. Mirai sau đó theo dõi để kiểm tra xem kết nối của nó có thành công không

7. Nếu kết nối hết thời gian hoặc có sự cố, Mirai sẽ thử lại tối đa 10 lần .

8. Nếu tất cả điều này thành công, may mắn khó khăn. Thiết bị của bạn hiện đã bị nhiễm cho đến khi khởi động lại!

Vì vậy, tóm lại, để trả lời câu hỏi của bạn, vâng, phiên bản Mirai được biết công khai sẽ bị đánh bại nếu bạn thay đổi tên người dùng và mật khẩu . Bất cứ ai đã sửa đổi bản sao Mirai của họ đều có thể đã thêm các vectơ tấn công bổ sung, mặc dù bạn có thể không phân loại cùng loại phần mềm độc hại nữa.