Come posso verificare se i miei dispositivi IoT sono infetti dal worm Mirai?


27

Di recente ho sentito parlare del worm Mirai , che infetta i router vulnerabili, i dispositivi IoT e altri dispositivi connessi a Internet con password non sicure. Mirai è sospettato di essere la causa di alcuni dei più grandi attacchi DDoS nella storia :

Dyn ha stimato che l'attacco aveva coinvolto "100.000 endpoint dannosi" e che la società, che sta ancora indagando sull'attacco, ha affermato che ci sono state segnalazioni di una forza di attacco straordinaria di 1,2Tbps.

La domanda Posso monitorare la mia rete per attività di dispositivi IoT non autorizzati? fornisce alcuni utili suggerimenti generici per individuare malware sulla mia rete IoT, ma come posso verificare se i miei dispositivi sono infettati dal malware? Incapsula fornisce uno strumento per l'esecuzione in grado di eseguire la scansione dei dispositivi vulnerabili a Mirai, ma esiste un modo per verificare autonomamente se eventuali dispositivi sulla mia rete sono infetti (o fornire protezione in tempo reale) in modo che non debba continuare a eseguire il strumento quando ricordo?

Risposte:


17

Rilevamento del dispositivo infetto

Questi dispositivi trasformati in botnet funzioneranno comunque correttamente per il proprietario ignaro, a parte la larghezza di banda occasionale e lenta, e il loro comportamento di botnet potrebbe passare inosservato indefinitamente.

Webroot.com: rilasciato il codice sorgente per malware Mirai IoT

Questo ci dice come il dispositivo cambia il suo comportamento. Purtroppo la larghezza di banda lenta occasionale è purtroppo un indicatore davvero brutto da tenere d'occhio. L'altra cosa che Mirai fa è bloccare le porte per evitare strumenti di monitoraggio per rilevarla.

È possibile cercare queste due funzionalità. Il primo richiede una soluzione di monitoraggio del traffico di rete molto sofisticata e una conoscenza complessa del tipo di traffico che ci si aspetta nella propria rete. Se il tuo dispositivo IoT non comunica tramite una connessione WiFi ma tramite 3G o altri standard di telecomunicazione mobile, sei quasi sfortunato perché non puoi monitorarli. Almeno non facilmente e nella maggior parte delle giurisdizioni non legalmente.

La seconda funzione di Mirai è la cosa che anche Incapsula ricerca. Se le porte sono chiuse c'è una possibile infezione da Mirai. Poiché il riavvio libera temporaneamente il dispositivo dalle grinfie di Mirai, la modifica della disponibilità delle porte nel tempo successivo al riavvio può essere considerata un segno molto probabile che il dispositivo sia stato compromesso.

Tieni presente che Incapsula non fornisce certezza ma fornisce solo le tue informazioni sui dispositivi che sono possibili target e dispositivi che potrebbero essere stati infettati. Questo è il motivo per cui è importante rendersi conto che il Mirai, per quanto potente possa attaccare, non è un nemico imbattibile su un piccolo raggio, è anche facile prevenire le infezioni.

Le prossime due sezioni mostreranno che il rilevamento è uno sforzo eccessivo rispetto alla protezione di un dispositivo in primo luogo o alla protezione del dispositivo in un sospetto.

Ricatturare il tuo dispositivo

Tuttavia, Mirai funge da endpoint per una rete bot e il worm non sta modificando la memoria persistente del dispositivo IoT. Cioè il firmware non è infetto. Questo è il motivo per cui un riavvio e una modifica immediata della password ti danno il controllo del tuo dispositivo.

I sistemi infetti possono essere puliti riavviandoli, ma poiché la scansione di questi dispositivi avviene a una velocità costante, è possibile che vengano infettati nuovamente dopo pochi minuti dal riavvio. Ciò significa che gli utenti devono modificare la password predefinita immediatamente dopo il riavvio o impedire al dispositivo di accedere a Internet fino a quando non possono ripristinare il firmware e modificare la password localmente.

Webroot.com: rilasciato il codice sorgente per malware Mirai IoT

Prevenire in primo luogo la compromissione

Mirai non hackera i tuoi dispositivi!

Mirai esegue continuamente la scansione di Internet per i dispositivi IoT e accede ad essi utilizzando i nomi utente e le password predefiniti o hardcoded.

Webroot.com: rilasciato il codice sorgente per malware Mirai IoT

Mirai utilizza accessi predefiniti per compromettere i tuoi dispositivi. Cambia la password prima di dare al tuo dispositivo IoT qualsiasi connessione a Internet per la prima volta e vivrai in una zona libera di Mirai.

Se la password del tuo dispositivo non può essere modificata ed è un potenziale target Mirai, considera di passare alla concorrenza.


6

Se hai dispositivi vulnerabili sulla tua rete, dovresti presumere che siano compromessi. Per definizione, le credenziali di accesso sono pubbliche e credo che si debba supporre che il firmware sia stato manomesso. Non è necessario attendere per osservare la comunicazione con il server di controllo dei comandi o attività dannose.

Pulisci subito il dispositivo, assicurati di assegnare a ogni nuovo dispositivo una nuova password e scansiona al momento dell'installazione.

Forse il sottotesto è come scansionare le vulnerabilità di accesso remoto appena scoperte sui dispositivi esistenti, ma non leggo la domanda come quella che chiede specificamente.


6

Invece di cercare una soluzione autonoma. Puoi provare ad automatizzare lo strumento di Incapsula. Purtroppo è un servizio disponibile tramite un pulsante della pagina Web, quindi è necessario aprire quella pagina e fare clic sul pulsante in modo autonomo.

Dalla fonte della pagina è possibile ottenere informazioni sul pulsante stesso.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Quindi forse con uno script potresti creare un'attività in esecuzione periodica che apre il sito , trova il pulsante tramite l'ID e fa clic su di esso ed esegue una scansione.

Non conosco il modo esatto di farlo, ma forse è possibile utilizzare il pacchetto Selenium o Mechanize Python .


3

Mirai attacca Linux incorporato. Dovresti prima ottenere l'accesso alla riga di comando al tuo dispositivo IoT. Successivamente è possibile controllare i checksum del filesystem di sola lettura e confrontarli con versioni del firmware pulite. A volte le aziende hanno il firmware originale online o puoi contattarli per una copia. Se vuoi capire come viene solitamente impacchettato il firmware, ti suggerisco di consultare il programma Binwalk. OpenWrt ha una buona documentazione sulla memoria flash. Quando si esegue il flashing / reflash del firmware sul dispositivo IoT, le sezioni del firmware (kernel, file system root di sola lettura, sezione di configurazione scrivibile) vengono archiviate in partizioni MTD sul chip flash dell'IoT. È possibile copiare / scaricare queste partizioni (/ dev / mtdblock1 è un esempio di Linux) e confrontarle con il firmware originale, tramite checksum. Se temi un rootkit e non ti fidi della riga di comando,


1
Il controllo del firmware tramite l'accesso alla riga di comando è inutile. Una volta che il dispositivo è stato compromesso, non puoi fidarti di ciò che vedi sulla riga di comando. Leggi Aiuto! Il mio PC di casa è stato infettato da un virus! Cosa faccio ora? - è scritto su un PC ma si applica a qualsiasi computer inclusi i dispositivi IoT.
Gilles 'SO- smetti di essere malvagio' il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.