Jak mogę sprawdzić, czy moje urządzenia IoT są zainfekowane robakiem Mirai?

27

Niedawno słyszałem o robaku Mirai , który infekuje wrażliwe routery, urządzenia IoT i inne urządzenia podłączone do Internetu niepewnymi hasłami. Podejrzewa się, że Mirai był przyczyną największych ataków DDoS w historii :

Dyn oszacował, że atak obejmował „100 000 złośliwych punktów końcowych”, a firma, która wciąż bada atak, powiedziała, że ​​pojawiły się doniesienia o niezwykłej sile ataku 1,2 TB / s.

Pytanie Czy mogę monitorować moją sieć pod kątem nieuczciwej aktywności urządzeń IoT? zawiera kilka przydatnych ogólnych wskazówek dotyczących wykrywania złośliwego oprogramowania w mojej sieci IoT, ale jak mogę sprawdzić, czy moje urządzenia zainfekowane złośliwym oprogramowaniem? Incapsula zapewnia narzędzie do uruchamiania, które może skanować w poszukiwaniu urządzeń podatnych na Mirai, ale istnieje sposób na samodzielne sprawdzenie, czy jakieś urządzenia w mojej sieci są zainfekowane (lub zapewniają ochronę w czasie rzeczywistym), dzięki czemu nie muszę nadal uruchamiać narzędzie, kiedy pamiętam?

Aurora0001
źródło

Odpowiedzi:

17

Wykrywanie zainfekowanego urządzenia

Te urządzenia zamienione w botnet będą nadal działały poprawnie dla niczego niepodejrzewającego właściciela, z wyjątkiem sporadycznej powolnej przepustowości, a ich zachowanie botnetu może pozostać niezauważone przez czas nieokreślony.

Webroot.com: Wydano kod źródłowy złośliwego oprogramowania Mirai IoT

To mówi nam, jak urządzenie zmienia swoje zachowanie. Sporadyczne spowolnienie przepustowości jest niestety naprawdę złym wskaźnikiem, na który należy zwrócić uwagę. Inną rzeczą, którą robi Mirai, jest blokowanie portów, aby uniknąć narzędzi monitorujących w celu ich wykrycia.

Tych dwóch funkcji można szukać. Pierwsze z nich wymaga bardzo wyrafinowanego rozwiązania do monitorowania ruchu sieciowego i dogłębnej wiedzy o tym, jakiego rodzaju ruchu oczekujesz w sieci. Jeśli twoje urządzenie IoT nie komunikuje się za pośrednictwem połączenia Wi-Fi, ale za pośrednictwem 3G lub innych standardów telekomunikacji mobilnej, nie masz szczęścia, ponieważ nie możesz ich monitorować. Przynajmniej nie łatwo, aw większości jurysdykcji nie legalnie.

Drugą funkcją Mirai jest to, co Incapsula również skanuje. Jeśli porty są zamknięte, możliwa jest infekcja Mirai. Ponieważ ponowne uruchomienie tymczasowo uwalnia urządzenie ze sprzęgieł Mirai, zmiana dostępności portów w czasie po ponownym uruchomieniu może być traktowana jako bardzo prawdopodobny znak, że urządzenie zostało naruszone.

Należy pamiętać, że Incapsula nie zapewnia pewności, a jedynie podaje informacje o urządzeniach, które są potencjalnymi celami i urządzeniach, które mogły zostać zainfekowane. Dlatego ważne jest, aby zdać sobie sprawę, że Mirai bez względu na to, jak potężne ataki potrafi wyrządzić, nie jest nieprzyjacielskim wrogiem na małym zasięgu, łatwo jest nawet zapobiec infekcjom.

Następne dwie sekcje pokażą, że wykrywanie to zdecydowanie za dużo wysiłku w porównaniu do zabezpieczenia urządzenia w pierwszej kolejności lub zabezpieczenia urządzenia na przeczucie.

Odzyskiwanie urządzenia

Jednak Mirai działa jako punkt końcowy sieci botów, a robak nie zmienia trwałej pamięci urządzenia IoT. Oznacza to, że oprogramowanie układowe nie jest zainfekowane. To jest powód, dla którego ponowne uruchomienie i natychmiastowa zmiana hasła daje ci kontrolę nad urządzeniem.

Zainfekowane systemy można wyczyścić, uruchamiając je ponownie, ale ponieważ skanowanie tych urządzeń odbywa się ze stałą szybkością, możliwe jest, że zostaną one ponownie zainfekowane w ciągu kilku minut od ponownego uruchomienia. Oznacza to, że użytkownicy muszą zmienić domyślne hasło natychmiast po ponownym uruchomieniu lub uniemożliwić urządzeniu dostęp do Internetu, dopóki nie będą mogli zresetować oprogramowania wewnętrznego i zmienić hasła lokalnie.

Webroot.com: Wydano kod źródłowy złośliwego oprogramowania Mirai IoT

Unikaj przede wszystkim narażania się na szwank

Mirai nie hakuje twoich urządzeń!

Mirai nieustannie skanuje internet w poszukiwaniu urządzeń IoT i loguje się do nich przy użyciu domyślnych lub fabrycznie zapisanych nazw użytkowników i haseł.

Webroot.com: Wydano kod źródłowy złośliwego oprogramowania Mirai IoT

Mirai używa fabrycznych domyślnych danych logowania, aby zagrozić twoim urządzeniom. Zmień hasło przed pierwszym podłączeniem urządzenia IoT do Internetu, a będziesz mieszkał w strefie wolnej od Mirai.

Jeśli hasła urządzenia nie można zmienić i jest to potencjalny cel Mirai, rozważ przejście na konkurencję.

Helmar
źródło
6

Jeśli masz w sieci jakieś wrażliwe urządzenia, powinieneś założyć, że są one zagrożone. Z definicji dane logowania są jawne i uważam, że musisz założyć, że oprogramowanie zostało zmodyfikowane. Nie trzeba czekać, aby obserwować komunikację z serwerem kontroli poleceń lub złośliwą aktywność.

Wyczyść teraz urządzenie, upewnij się, że nadajesz każdemu nowemu urządzeniu nowe hasło, i przeskanuj je podczas instalacji.

Być może podtekst mówi, jak skanować w poszukiwaniu nowo wykrytych luk w dostępie zdalnym na istniejących urządzeniach, ale nie czytam tego pytania, nie zadając takiego pytania.

Sean Houlihane
źródło
6

Zamiast szukać autonomicznego rozwiązania. Możesz spróbować zautomatyzować narzędzie Incapsula. Niestety jest to usługa dostępna za pośrednictwem przycisku strony internetowej, więc musisz otworzyć tę stronę i kliknąć przycisk samodzielnie.

Ze źródła strony można uzyskać informacje o samym przycisku.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Może więc za pomocą skryptu możesz utworzyć okresowo uruchamiane zadanie, które otwiera stronę , znajduje przycisk przy identyfikatorze, klika go i uruchamia skanowanie.

Nie wiem dokładnie, jak to zrobić, ale może można użyć pakietu Selenium lub Mechanize Python .

Bence Kaulics
źródło
3

Mirai atakuje osadzony Linux. Najpierw musisz uzyskać dostęp z wiersza polecenia do urządzenia IoT. Następnie możesz sprawdzić sumy kontrolne systemu plików tylko do odczytu i porównać je z czystymi wersjami oprogramowania układowego. Czasami firmy mają oryginalne oprogramowanie układowe online lub możesz skontaktować się z nimi w celu uzyskania kopii. Jeśli chcesz zrozumieć, w jaki sposób oprogramowanie układowe jest zazwyczaj pakowane, sugeruję zajrzenie do programu Binwalk. OpenWrt ma dobrą dokumentację dotyczącą pamięci flash. Kiedy flashujesz / aktualizujesz oprogramowanie na urządzeniu IoT, sekcje oprogramowania (jądro, główny system plików tylko do odczytu, zapisywalna sekcja konfiguracji) są zapisywane na partycjach MTD na chipie flash IoT. Możesz skopiować / pobrać te partycje (/ dev / mtdblock1 to przykład Linuksa) i porównać je z oryginalnym oprogramowaniem, za pomocą sum kontrolnych. Jeśli boisz się rootkita i nie ufasz linii poleceń,

GusGorman402
źródło
1
Sprawdzanie oprogramowania układowego za pomocą dostępu do wiersza poleceń jest bezcelowe. Po naruszeniu bezpieczeństwa urządzenia nie można ufać temu, co widzisz w wierszu poleceń. Przeczytaj pomoc! Mój domowy komputer został zainfekowany wirusem! Co mam teraz zrobić? - napisano o komputerze, ale dotyczy dowolnego komputera, w tym urządzeń IoT.
Gilles „SO- przestań być zły”