Detectando o dispositivo infectado
Esses dispositivos que se tornaram botnet ainda funcionarão corretamente para o proprietário desavisado, além da largura de banda lenta e ocasional, e seu comportamento na botnet pode passar despercebido indefinidamente.
Webroot.com: Código fonte do Mirai IoT Malware lançado
Isso nos diz como o dispositivo altera seu comportamento. Infelizmente, a largura de banda lenta e ocasional é um indicador muito ruim para se estar atento. A outra coisa que a Mirai faz é bloquear portas para evitar ferramentas de monitoramento para detectá-la.
Esses dois recursos podem ser procurados. O primeiro precisa de uma solução muito sofisticada de monitoramento de tráfego de rede e conhecimento intricado sobre que tipo de tráfego você espera em sua rede. Se o seu dispositivo IoT não se comunicar por meio de uma conexão Wi-Fi, mas por 3G ou outros padrões de telecomunicações móveis, você estará sem sorte porque não poderá monitorá-los. Pelo menos não facilmente e na maioria das jurisdições não legalmente.
O segundo recurso do Mirai é o que o Incapsula também procura. Se as portas estiverem fechadas, há uma possível infecção por Mirai. Como a reinicialização libera temporariamente o dispositivo das garras da Mirai, a alteração na disponibilidade da porta no período após a reinicialização pode ser considerada um sinal muito provável de que o dispositivo foi comprometido.
Lembre-se de que o Incapsula não fornece certeza, mas apenas fornece suas informações sobre dispositivos que são possíveis alvos e dispositivos que podem ter sido infectados. É por isso que é importante perceber que o Mirai, por mais poderoso que possa atacar, não é um inimigo imbatível em um escopo pequeno, é fácil impedir infecções.
As próximas duas seções mostrarão que a detecção é um esforço excessivo em comparação à proteção de um dispositivo em primeiro lugar ou à proteção de um dispositivo em um palpite.
Recapturando seu dispositivo
No entanto, Mirai atua como um ponto final para uma rede de bots e o worm não está alterando a memória persistente do dispositivo IoT. Ou seja, o firmware não está infectado. Essa é a razão pela qual uma reinicialização e uma alteração imediata da senha oferecem a você o controle sobre seu dispositivo.
Os sistemas infectados podem ser limpos reiniciando-os, mas, como a verificação desses dispositivos ocorre a uma taxa constante, é possível que eles sejam reinfectados poucos minutos após a reinicialização. Isso significa que os usuários precisam alterar a senha padrão imediatamente após a reinicialização ou impedir que o dispositivo acesse a Internet até que possam redefinir o firmware e alterar a senha localmente.
Webroot.com: Código fonte do Mirai IoT Malware lançado
Evite ser comprometido em primeiro lugar
Mirai não invade seus dispositivos!
A Mirai varre continuamente a Internet em busca de dispositivos IoT e faz login neles usando os nomes de usuário e senhas codificados ou padrão de fábrica.
Webroot.com: Código fonte do Mirai IoT Malware lançado
A Mirai usa logons padrão de fábrica para comprometer seus dispositivos. Altere a senha antes de conceder ao seu dispositivo IoT qualquer conexão à Internet pela primeira vez e você viverá em uma zona livre da Mirai.
Se a senha do seu dispositivo não puder ser alterada e for um possível alvo da Mirai, considere mudar para a competição.