Como posso verificar se meus dispositivos IoT estão infectados com o worm Mirai?

27

Recentemente, ouvi falar do worm Mirai , que infecta roteadores vulneráveis, dispositivos IoT e outros dispositivos conectados à Internet com senhas inseguras. Mirai é suspeito de ser a causa de alguns dos maiores ataques DDoS da história :

Dyn estimou que o ataque envolveu "100.000 pontos de extremidade maliciosos", e a empresa, que ainda está investigando o ataque, disse que houve relatos de uma força extraordinária de 1,2Tbps.

A pergunta Posso monitorar minha rede quanto a atividades de dispositivos IoT não autorizados? fornece algumas dicas genéricas úteis para detectar malware na minha rede IoT, mas como posso verificar se meus dispositivos estão infectados com o malware? O Incapsula fornece uma ferramenta para executar, que pode procurar dispositivos vulneráveis ​​ao Mirai, mas existe uma maneira de verificar autonomamente se algum dispositivo da minha rede está infectado (ou fornecer proteção em tempo real) para que eu não precise continuar executando o ferramenta quando me lembro?

security  networking  mirai 
Aurora0001
fonte

Respostas:

17

Detectando o dispositivo infectado

Esses dispositivos que se tornaram botnet ainda funcionarão corretamente para o proprietário desavisado, além da largura de banda lenta e ocasional, e seu comportamento na botnet pode passar despercebido indefinidamente.

Webroot.com: Código fonte do Mirai IoT Malware lançado

Isso nos diz como o dispositivo altera seu comportamento. Infelizmente, a largura de banda lenta e ocasional é um indicador muito ruim para se estar atento. A outra coisa que a Mirai faz é bloquear portas para evitar ferramentas de monitoramento para detectá-la.

Esses dois recursos podem ser procurados. O primeiro precisa de uma solução muito sofisticada de monitoramento de tráfego de rede e conhecimento intricado sobre que tipo de tráfego você espera em sua rede. Se o seu dispositivo IoT não se comunicar por meio de uma conexão Wi-Fi, mas por 3G ou outros padrões de telecomunicações móveis, você estará sem sorte porque não poderá monitorá-los. Pelo menos não facilmente e na maioria das jurisdições não legalmente.

O segundo recurso do Mirai é o que o Incapsula também procura. Se as portas estiverem fechadas, há uma possível infecção por Mirai. Como a reinicialização libera temporariamente o dispositivo das garras da Mirai, a alteração na disponibilidade da porta no período após a reinicialização pode ser considerada um sinal muito provável de que o dispositivo foi comprometido.

Lembre-se de que o Incapsula não fornece certeza, mas apenas fornece suas informações sobre dispositivos que são possíveis alvos e dispositivos que podem ter sido infectados. É por isso que é importante perceber que o Mirai, por mais poderoso que possa atacar, não é um inimigo imbatível em um escopo pequeno, é fácil impedir infecções.

As próximas duas seções mostrarão que a detecção é um esforço excessivo em comparação à proteção de um dispositivo em primeiro lugar ou à proteção de um dispositivo em um palpite.

Recapturando seu dispositivo

No entanto, Mirai atua como um ponto final para uma rede de bots e o worm não está alterando a memória persistente do dispositivo IoT. Ou seja, o firmware não está infectado. Essa é a razão pela qual uma reinicialização e uma alteração imediata da senha oferecem a você o controle sobre seu dispositivo.

Os sistemas infectados podem ser limpos reiniciando-os, mas, como a verificação desses dispositivos ocorre a uma taxa constante, é possível que eles sejam reinfectados poucos minutos após a reinicialização. Isso significa que os usuários precisam alterar a senha padrão imediatamente após a reinicialização ou impedir que o dispositivo acesse a Internet até que possam redefinir o firmware e alterar a senha localmente.

Webroot.com: Código fonte do Mirai IoT Malware lançado

Evite ser comprometido em primeiro lugar

Mirai não invade seus dispositivos!

A Mirai varre continuamente a Internet em busca de dispositivos IoT e faz login neles usando os nomes de usuário e senhas codificados ou padrão de fábrica.

Webroot.com: Código fonte do Mirai IoT Malware lançado

A Mirai usa logons padrão de fábrica para comprometer seus dispositivos. Altere a senha antes de conceder ao seu dispositivo IoT qualquer conexão à Internet pela primeira vez e você viverá em uma zona livre da Mirai.

Se a senha do seu dispositivo não puder ser alterada e for um possível alvo da Mirai, considere mudar para a competição.

Helmar
fonte
6

Se você possui dispositivos vulneráveis ​​na sua rede, deve assumir que eles estão comprometidos. Por definição, as credenciais de logon são públicas e acredito que você precise presumir que o firmware foi violado. Não há necessidade de esperar para observar a comunicação com o servidor de controle de comando ou atividade maliciosa.

Limpe o dispositivo agora, garanta que você dê a cada novo dispositivo uma nova senha e verifique-a na instalação.

Talvez o subtexto seja como procurar vulnerabilidades de acesso remoto recém-descobertas em dispositivos existentes, mas não leio a pergunta como uma pergunta específica.

Sean Houlihane
fonte
6

Em vez de procurar uma solução autônoma. Você pode tentar automatizar a ferramenta da Incapsula. Infelizmente, é um serviço disponível por meio de um botão de página da web; portanto, você deve abrir essa página e clicar no botão de forma autônoma.

Na fonte da página, você pode obter informações sobre o próprio botão.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Portanto, talvez com um script você possa criar uma tarefa em execução periódica que abra o site , encontre o botão pelo ID, clique nele e faça uma verificação.

Eu não sei a maneira exata de fazer isso, mas talvez o pacote Selenium ou Mechanize Python possa ser usado.

Bence Kaulics
fonte
3

Mirai ataca o linux incorporado. Você primeiro precisa obter acesso da linha de comando ao seu dispositivo IoT. Depois disso, você pode verificar as somas de verificação do sistema de arquivos somente leitura e compará-las com as versões de firmware limpas. Às vezes, as empresas têm o firmware original online ou você pode contatá-las para obter uma cópia. Se você quiser entender como o firmware geralmente é empacotado, sugiro olhar para o programa Binwalk. O OpenWrt possui boa documentação sobre memória flash. Quando você faz o flash / reflash do firmware no dispositivo IoT, as seções do firmware (kernel, sistema de arquivos raiz somente leitura, seção de configuração gravável) são armazenadas nas partições MTD no chip flash da IoT. Você pode copiar / baixar essas partições (/ dev / mtdblock1 é exemplo do linux) e compará-las com o firmware original, através de somas de verificação. Se você tem medo de um rootkit e não confia na linha de comando,

GusGorman402
fonte
11
A verificação do firmware via acesso à linha de comando não faz sentido. Depois que o dispositivo é comprometido, você não pode confiar no que vê na linha de comando. Leia a Ajuda! Meu PC doméstico foi infectado por um vírus! O que eu faço agora? - foi escrito sobre um PC, mas se aplica a qualquer computador, incluindo dispositivos IoT.
Gilles 'SO- stop be evil'
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.