ฉันจะตรวจสอบได้อย่างไรว่าอุปกรณ์ IoT ของฉันติดเวิร์ม Mirai หรือไม่

เมื่อเร็ว ๆ นี้ฉันเคยได้ยินเกี่ยวกับหนอน Miraiซึ่งติดเชื้อเราเตอร์ที่มีช่องโหว่อุปกรณ์ IoT และอุปกรณ์อื่น ๆ ที่เชื่อมต่ออินเทอร์เน็ตด้วยรหัสผ่านที่ไม่ปลอดภัย มิไรสงสัยว่าเป็นสาเหตุของการโจมตี DDoS ที่ใหญ่ที่สุดในประวัติศาสตร์ :

Dyn คาดว่าการโจมตีนั้นเกี่ยวข้องกับ“ 100,000 endpoints ปลายทาง” และ บริษัท ซึ่งยังคงตรวจสอบการโจมตีกล่าวว่ามีรายงานว่ามีการโจมตีที่รุนแรงเป็นพิเศษที่ 1.2Tbps

คำถามฉันสามารถตรวจสอบเครือข่ายของฉันสำหรับกิจกรรมอุปกรณ์โกง IoT ได้หรือไม่ มีเคล็ดลับทั่วไปที่มีประโยชน์บางสำหรับการจำมัลแวร์บนเครือข่าย IOT ของฉัน แต่ฉันจะตรวจสอบว่าอุปกรณ์ของฉันได้รับการติดเชื้อมัลแวร์หรือไม่ Incapsula มีเครื่องมือในการทำงานซึ่งสามารถสแกนหาอุปกรณ์ที่เสี่ยงต่อการมีมิไร แต่มีวิธีการตรวจสอบอัตโนมัติว่าอุปกรณ์ใด ๆ ในเครือข่ายของฉันติดไวรัส (หรือให้การป้องกันแบบเรียลไทม์) เพื่อให้ฉันไม่ต้องทำงานต่อ เครื่องมือเมื่อฉันจำได้อย่างไร

ตรวจจับอุปกรณ์ที่ติดไวรัส

อุปกรณ์ที่ถูกเปิดใช้งานบ็อตเน็ตเหล่านี้จะยังคงทำงานได้อย่างถูกต้องสำหรับเจ้าของที่ไม่สงสัยนอกเหนือจากแบนด์วิดท์ที่ซบเซาเป็นครั้งคราวและพฤติกรรมของบอตเน็ตของพวกเขาอาจไม่ได้รับการสังเกตอย่างไม่มีกำหนด

Webroot.com: ซอร์สโค้ดสำหรับมัลแวร์ Mirai IoT เปิดตัวแล้ว

สิ่งนี้บอกเราว่าอุปกรณ์เปลี่ยนพฤติกรรมอย่างไร แบนด์วิดธ์ที่ซบเซาเป็นครั้งคราวโชคไม่ดีที่เป็นตัวบ่งชี้ที่ไม่ดีจริงๆที่จะมองหา สิ่งอื่นที่มิไรทำคือบล็อกพอร์ตเพื่อหลีกเลี่ยงเครื่องมือตรวจสอบเพื่อตรวจจับ

สามารถค้นหาคุณสมบัติทั้งสองนี้ได้ ก่อนอื่นต้องมีโซลูชันการตรวจสอบปริมาณข้อมูลเครือข่ายที่ซับซ้อนมากและความรู้ที่ซับซ้อนเกี่ยวกับปริมาณข้อมูลที่คุณคาดหวังในเครือข่ายของคุณ หากอุปกรณ์ IoT ของคุณไม่สื่อสารผ่านการเชื่อมต่อ WiFi แต่ผ่าน 3G หรือมาตรฐานโทรคมนาคมมือถืออื่น ๆ คุณโชคไม่ดีนักเพราะคุณไม่สามารถตรวจสอบสิ่งเหล่านี้ได้ อย่างน้อยไม่ง่ายและในเขตอำนาจศาลส่วนใหญ่ไม่ใช่กฎหมาย

คุณสมบัติ Mirai ที่สองคือสิ่งที่ Incapsula สแกนหา ถ้าพอร์ตที่มีการปิดมีความเป็นไปได้การติดเชื้อ Mirai เนื่องจากการรีบูตเครื่องเป็นการชั่วคราวทำให้อุปกรณ์หลุดจากเงื้อมมือของ Mirai การเปลี่ยนแปลงความพร้อมใช้งานของพอร์ตในเวลาหลังจากการรีบูตสามารถเป็นสัญญาณที่บ่งบอกว่าอุปกรณ์ถูกบุกรุก

โปรดทราบว่า Incapsula ไม่ได้ให้ความแน่นอน แต่ให้ข้อมูลของคุณเกี่ยวกับอุปกรณ์ที่เป็นไปได้เป้าหมายและอุปกรณ์ที่อาจติดไวรัส นี่คือเหตุผลว่าทำไมจึงเป็นเรื่องสำคัญที่จะต้องตระหนักว่ามิไร แต่การโจมตีที่ทรงพลังสามารถทำให้มันเป็นศัตรูที่ไม่สามารถเอาชนะได้ในขอบเขตเล็ก ๆ มันเป็นเรื่องง่ายที่จะป้องกันการติดเชื้อ

อีกสองส่วนถัดไปจะแสดงให้เห็นว่าการตรวจจับนั้นเป็นวิธีที่ใช้ความพยายามมากเกินไปเมื่อเทียบกับการรักษาความปลอดภัยอุปกรณ์ในตอนแรกหรือการรักษาความปลอดภัยอุปกรณ์ของคุณในลางสังหรณ์

การปรับแต่งอุปกรณ์ของคุณใหม่

อย่างไรก็ตามมิไรทำหน้าที่เป็นจุดสิ้นสุดของบอตเน็ตและเวิร์มจะไม่เปลี่ยนหน่วยความจำถาวรของอุปกรณ์ IoT นั่นคือเฟิร์มแวร์ไม่ได้ติดไวรัส นี่คือเหตุผลที่การรีบูตและการเปลี่ยนรหัสผ่านทันทีช่วยให้คุณสามารถควบคุมอุปกรณ์ของคุณได้

ระบบที่ติดไวรัสสามารถทำความสะอาดได้โดยการรีบูตระบบ แต่เนื่องจากการสแกนหาอุปกรณ์เหล่านี้ในอัตราคงที่จึงเป็นไปได้ที่ระบบจะสามารถกู้คืนระบบได้ภายในไม่กี่นาทีหลังจากรีบูต ซึ่งหมายความว่าผู้ใช้จะต้องเปลี่ยนรหัสผ่านเริ่มต้นทันทีหลังจากรีบูตเครื่องหรือป้องกันไม่ให้อุปกรณ์เข้าถึงอินเทอร์เน็ตจนกว่าพวกเขาจะสามารถรีเซ็ตเฟิร์มแวร์และเปลี่ยนรหัสผ่านภายในเครื่องได้

Webroot.com: ซอร์สโค้ดสำหรับมัลแวร์ Mirai IoT เปิดตัวแล้ว

ป้องกันการถูกโจมตีตั้งแต่แรก

มิไรไม่แฮ็คอุปกรณ์ของคุณ!

มิไรทำการสแกนอินเทอร์เน็ตเพื่อหาอุปกรณ์ IoT อย่างต่อเนื่องและทำการล็อกอินโดยใช้ชื่อผู้ใช้และรหัสผ่านที่เป็นค่าเริ่มต้นจากโรงงาน

Webroot.com: ซอร์สโค้ดสำหรับมัลแวร์ Mirai IoT เปิดตัวแล้ว

Mirai ใช้การเข้าสู่ระบบเริ่มต้นจากโรงงานเพื่อประนีประนอมอุปกรณ์ของคุณ เปลี่ยนรหัสผ่านก่อนที่จะมอบการเชื่อมต่ออินเทอร์เน็ตให้กับอุปกรณ์ IoT ของคุณเป็นครั้งแรกและคุณจะอยู่ในเขตปลอดอากรของ Mirai

หากรหัสผ่านอุปกรณ์ของคุณไม่สามารถเปลี่ยนได้และเป็นเป้าหมายที่อาจเกิดขึ้นกับ Mirai ให้พิจารณาเปลี่ยนไปใช้การแข่งขัน

หากคุณมีอุปกรณ์ที่มีช่องโหว่ในเครือข่ายของคุณคุณควรถือว่าอุปกรณ์เหล่านั้นถูกบุกรุก ตามคำนิยามหนังสือรับรองการเข้าสู่ระบบเป็นสาธารณะและฉันเชื่อว่าคุณต้องถือว่าเฟิร์มแวร์ได้รับการดัดแปลง ไม่จำเป็นต้องรอเพื่อสังเกตการสื่อสารกับเซิร์ฟเวอร์คำสั่งควบคุมหรือกิจกรรมที่เป็นอันตราย

ทำความสะอาดอุปกรณ์ทันทีตรวจสอบให้แน่ใจว่าคุณได้ให้รหัสผ่านใหม่แก่อุปกรณ์ใหม่ทุกชิ้นและสแกนในระหว่างการติดตั้ง

บางทีคำบรรยายอาจเป็นวิธีสแกนหาช่องโหว่การเข้าถึงระยะไกลที่เพิ่งค้นพบบนอุปกรณ์ที่มีอยู่แล้ว แต่ฉันไม่ได้อ่านคำถามเป็นการถามเฉพาะ

แทนที่จะค้นหาวิธีแก้ปัญหาอัตโนมัติ คุณสามารถลองใช้เครื่องมือของ Incapsula อัตโนมัติ น่าเสียดายที่บริการนี้มีให้ผ่านปุ่มหน้าเว็บดังนั้นคุณต้องเปิดหน้านั้นและคลิกที่ปุ่มด้วยตนเอง

จากแหล่งที่มาของหน้าคุณสามารถรับข้อมูลเกี่ยวกับปุ่มเอง

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

ดังนั้นอาจมีสคริปต์ที่คุณสามารถสร้างงานที่เรียกใช้เป็นระยะซึ่งเปิดไซต์ค้นหาปุ่มตาม ID และคลิกที่มันและทำการสแกน

ฉันไม่ทราบวิธีการที่แน่นอนในการทำเช่นนี้ แต่อาจใช้แพ็คเกจSeleniumหรือMechanize Pythonได้

มิไรโจมตีลินุกซ์ในตัว ก่อนอื่นคุณจะต้องได้รับการเข้าถึงบรรทัดคำสั่งไปยังอุปกรณ์ IoT ของคุณ หลังจากนั้นคุณสามารถตรวจสอบการตรวจสอบของระบบไฟล์แบบอ่านอย่างเดียวและเปรียบเทียบกับการล้างข้อมูลเวอร์ชั่นเฟิร์มแวร์ บางครั้ง บริษัท มีเฟิร์มแวร์ดั้งเดิมออนไลน์หรือคุณสามารถติดต่อพวกเขาเพื่อขอสำเนา หากคุณต้องการที่จะเข้าใจว่าปกติแพ็คเกจเฟิร์มแวร์นั้นเป็นอย่างไรฉันขอแนะนำให้ดูในโปรแกรม Binwalk OpenWrt มีเอกสารที่ดีเกี่ยวกับหน่วยความจำแฟลช เมื่อคุณแฟลช / reflash เฟิร์มแวร์ลงบนอุปกรณ์ IoT ส่วนของเฟิร์มแวร์ (เคอร์เนลอ่านเฉพาะระบบไฟล์รูทส่วนการตั้งค่าที่เขียนได้) จะถูกเก็บไว้ในพาร์ติชัน MTD บนชิปแฟลชของ IoT คุณสามารถคัดลอก / ดาวน์โหลดพาร์ติชันเหล่านี้ (/ dev / mtdblock1 เป็นตัวอย่างของ linux) และเปรียบเทียบกับเฟิร์มแวร์ดั้งเดิมผ่านทาง checksums หากคุณกลัวรูทคิทและไม่เชื่อถือบรรทัดคำสั่ง