IoT cihazlarımın Mirai solucanından etkilenip etkilenmediğini nasıl kontrol edebilirim?


27

Yakın zamanda hassas yönlendiricilere, IoT cihazlarına ve internete bağlı diğer cihazlara güvensiz şifreleri bulaştıran Mirai solucanını duydum . Mirai, tarihteki en büyük DDoS saldırılarının bazılarının nedeni olduğundan şüpheleniliyor :

Dyn, saldırının “100.000 kötü niyetli son nokta” içerdiğini ve halen saldırıyı araştırmakta olan şirketin, 1.2Tbps'lik olağanüstü bir saldırı gücü raporları olduğunu söyledi.

Soru Ağımı haydut IoT cihazının etkinliği açısından izleyebilir miyim? Benim Iot ağdaki kötü amaçlı yazılım tespit için bazı yararlı jenerik ipuçları sağlar, ama benim cihazlar eğer nasıl kontrol edebilirim olan kötü amaçlı yazılım bulaşmış? Incapsula, Mirai'ye karşı savunmasız cihazları tarayan bir araç sağlar, ancak ağımdaki herhangi bir cihaza virüs bulaşıp bulaşmadığını (veya gerçek zamanlı koruma sağlar) özerk bir şekilde kontrol etmenin bir yolu var. hatırladığımda aracı?

Yanıtlar:


17

Virüslü cihazın tespiti

Bu cihazlar çevrilmiş botnet, zaman zaman durgun olan bant genişliğinin yanı sıra, şüphesiz mal sahibi için de doğru şekilde çalışacaktır ve botnet davranışları belirsiz bir şekilde fark edilmeyebilir.

Webroot.com: Mirai IoT Zararlı Yazılımları için Kaynak Kodu Çıktı

Bu bize cihazın davranışını nasıl değiştirdiğini anlatıyor. Ara sıra halsiz bant genişliği ne yazık ki aranacak konusunda gerçekten kötü bir gösterge. Mirai'nin yaptığı diğer şey, izleme araçlarını tespit etmekten kaçınmak için bağlantı noktalarını engellemektir.

Bu iki özellik aranabilir. İlki, çok karmaşık bir ağ trafiği izleme çözümüne ihtiyaç duyuyor ve ağınızda ne tür bir trafik beklediğinizle ilgili karmaşık bilgiler. IoT cihazınız bir WiFi bağlantısı üzerinden iletişim kurmuyor ancak 3G veya diğer mobil telekomünikasyon standartları üzerinden iletişim kuruyorsa, bunları izleyemeyeceğiniz için çok fazla şansınız kalmaz. En azından kolay değil ve çoğu yargı alanında yasal olarak değil.

İkinci Mirai özelliği, Incapsula'nın da aradığı şey. Bağlantı noktaları kapalıysa, olası bir Mirai enfeksiyonu vardır. Yeniden başlatma işlemi, cihazı geçici olarak Mirai'den kurtardığından, bir yeniden başlatma işleminin cihazın tehlikeye girdiğinin çok muhtemel bir işareti olarak alınmasından sonraki sürede liman mevcudiyetindeki değişikliği kavramasından dolayı.

Incapsula'nın kesinlik sağlamadığını, ancak olası hedefler olan ve virüslü olabilecek cihazlar hakkında bilgilerinizi verdiğini unutmayın . Mirai'nin güçlü bir saldırıya maruz bırakabileceğini ancak küçük bir kapsamda yenilmez bir düşman olmadığını, enfeksiyonları önlemenin daha kolay olduğunu fark etmenin nedeni budur.

Sonraki iki bölüm, bir cihazı ilk etapta emniyete almak veya cihazınızı bir ağza sabitlemek ile karşılaştırıldığında tespit etmenin çok fazla çaba olduğunu gösterecektir.

Cihazınızı yeniden ele geçirmek

Bununla birlikte, Mirai bot ağı için bir son nokta olarak hareket eder ve solucan IoT cihazının kalıcı hafızasını değiştirmez. Yani cihaz yazılımı virüslü değil. Yeniden başlatmanın ve ani bir parola değişikliğinin cihazınız üzerinde kontrol sağlamasının nedeni budur .

Etkilenen sistemler yeniden başlatılarak temizlenebilir, ancak bu aygıtları taramak sabit bir hızda gerçekleştiğinden, yeniden başlatılmasından birkaç dakika sonra tekrar enfekte edilebilirler. Bu, kullanıcıların yeniden başlattıktan hemen sonra varsayılan şifreyi değiştirmeleri veya cihazın bellenimi sıfırlayabilmesi ve şifreyi yerel olarak değiştirebilmesi için cihazın İnternet'e erişmesini engellemesi gerektiği anlamına gelir.

Webroot.com: Mirai IoT Zararlı Yazılımları için Kaynak Kodu Çıktı

Her şeyden önce riske girmekten kaçın

Mirai cihazlarınızı kırmaz!

Mirai interneti IoT cihazları için sürekli olarak tarar ve fabrika varsayılanı veya kodlanmış kullanıcı adı ve şifreleri kullanarak oturum açar.

Webroot.com: Mirai IoT Zararlı Yazılımları için Kaynak Kodu Çıktı

Mirai, cihazlarınızı tehlikeye atmak için fabrika varsayılan girişlerini kullanır. IoT cihazınıza ilk defa herhangi bir İnternet bağlantısı vermeden önce şifreyi değiştirin; Mirai serbest bölgesinde yaşayacaksınız.

Cihaz şifreniz değiştirilemiyorsa ve potansiyel bir Mirai hedefi ise rekabete geçmeyi düşünün.


6

Ağınızda savunmasız herhangi bir cihaz varsa, bunların tehlikeye girdiğini varsaymalısınız. Tanım olarak, oturum açma kimlik bilgileri herkese açıktır ve bellenimin tahrif edildiğini varsaymanız gerektiğine inanıyorum. Komut kontrol sunucusuyla veya kötü niyetli aktivitelerle iletişimi gözlemlemek için beklemeye gerek yoktur.

Cihazı şimdi temizleyin, her yeni cihaza yeni bir şifre verdiğinizden emin olun ve kurulum sırasında tarayın.

Belki de alt metin, var olan aygıtlarda yeni keşfedilen uzaktan erişim açıklarını nasıl tarayacağınız sorusunu soruyor, ancak soruyu özellikle soruyorum olarak okumuyorum.


6

Özerk bir çözüm aramak yerine. Incapsula'nın aracını otomatikleştirmeyi deneyebilirsiniz. Ne yazık ki, bir web sayfası düğmesi aracılığıyla kullanılabilen bir hizmettir, bu nedenle o sayfayı açmalı ve otonom düğmesine basmalısınız.

Sayfa kaynağından düğmenin kendisi hakkında bilgi edinebilirsiniz.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Belki de bir betik ile siteyi açan , kimliğe göre butonu bulup, üzerine tıklayıp bir tarama yapan periyodik olarak çalışan bir görev oluşturabilirsiniz .

Bunu yapmanın tam yolunu bilmiyorum, ama belki Selenyum veya Mechanize Python paketi kullanılabilir.


3

Mirai gömülü linux saldırıları yapıyor. Önce IoT cihazınıza komut satırı erişimi almanız gerekir. Bundan sonra salt okunur dosya sisteminin sağlama toplamlarını kontrol edebilir ve bunları bellenim sürümleriyle karşılaştırabilirsiniz. Bazen şirketler orijinal ürün yazılımını çevrimiçi olarak alırlar veya bir kopya için onlarla iletişim kurabilirsiniz. Bellenimin genellikle nasıl paketlendiğini anlamak istiyorsanız, Binwalk programına bakmanızı öneririm. OpenWrt, flash bellek hakkında iyi belgelere sahiptir. IoT cihaza firmware yanıp söndüğünde / reflash yaptığınızda, firmware bölümleri (çekirdek, sadece kök dosya sistemi, yazılabilir konfigürasyon bölümü) IoT flash yongasında MTD bölümlerinde saklanır. Bu bölümleri kopyalayabilir / indirebilirsiniz (/ dev / mtdblock1 linux örneğidir) ve bunları sağlama toplamları üzerinden orijinal üretici yazılımı ile karşılaştırabilirsiniz. Bir rootkit'ten korkarsanız ve komut satırına güvenmiyorsanız,


1
Yazılımın komut satırı erişimi yoluyla kontrol edilmesi anlamsızdır. Cihaz tehlikeye girdiğinde, komut satırında gördüklerinize güvenemezsiniz. Yardım Oku ! Ev bilgisayarıma virüs bulaşmış! Ben şimdi ne yapacağım? - bir PC hakkında yazılmıştır ancak IoT cihazları dahil tüm bilgisayarlar için geçerlidir.
Gilles 'SO- kötülük yapmayı bırak'
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.