¿Cómo puedo verificar si mis dispositivos IoT están infectados con el gusano Mirai?

27

Recientemente escuché sobre el gusano Mirai , que infecta enrutadores vulnerables, dispositivos IoT y otros dispositivos conectados a Internet con contraseñas inseguras. Se sospecha que Mirai es la causa de algunos de los ataques DDoS más grandes de la historia :

Dyn estimó que el ataque había involucrado "100,000 puntos finales maliciosos", y la compañía, que todavía está investigando el ataque, dijo que había habido informes de una fuerza de ataque extraordinaria de 1.2Tbps.

La pregunta ¿Puedo monitorear mi red en busca de actividad de dispositivos IoT no autorizados? proporciona algunos consejos genéricos útiles para detectar malware en mi red IoT, pero ¿cómo puedo verificar si mis dispositivos están infectados con el malware? Incapsula proporciona una herramienta para ejecutar que puede escanear en busca de dispositivos vulnerables a Mirai, pero existe una forma de verificar de forma autónoma si algún dispositivo en mi red está infectado (o proporcionar protección en tiempo real) para que no tenga que seguir ejecutando el herramienta cuando lo recuerdo?

Aurora0001
fuente

Respuestas:

17

Detectando el dispositivo infectado

Estos dispositivos convertidos en botnet seguirán funcionando correctamente para el propietario desprevenido, aparte del ancho de banda lento ocasional, y su comportamiento de botnet puede pasar desapercibido indefinidamente.

Webroot.com: Lanzamiento del código fuente de Mirai IoT Malware

Esto nos dice cómo el dispositivo cambia su comportamiento. El ancho de banda lento ocasional es, lamentablemente, un mal indicador para estar atento. La otra cosa que Mirai hace es bloquear los puertos para evitar las herramientas de monitoreo para detectarlo.

Estas dos características se pueden buscar. El primero necesita una solución de monitoreo de tráfico de red muy sofisticada y un conocimiento complejo sobre el tipo de tráfico que espera en su red. Si su dispositivo IoT no se comunica a través de una conexión WiFi sino a través de 3G u otros estándares de telecomunicaciones móviles, no tendrá suerte porque no puede monitorearlos. Al menos no fácilmente y en la mayoría de las jurisdicciones no legalmente.

La segunda característica de Mirai es lo que Incapsula también busca. Si los puertos están cerrados, existe una posible infección por Mirai. Dado que el reinicio libera temporalmente el dispositivo de las garras de Mirai, el cambio en la disponibilidad del puerto en el tiempo posterior a un reinicio puede considerarse una señal muy probable de que el dispositivo se ha visto comprometido.

Tenga en cuenta que Incapsula no proporciona certeza sino que solo brinda su información sobre dispositivos que son posibles objetivos y dispositivos que podrían haber sido infectados. Es por eso que es importante darse cuenta de que el Mirai, por más poderosos que pueda atacarlo, no es un enemigo inmejorable en un ámbito pequeño, incluso es fácil prevenir infecciones.

Las siguientes dos secciones mostrarán que detectar es demasiado esfuerzo en comparación con asegurar un dispositivo en primer lugar o asegurarlo en una corazonada.

Recapturando su dispositivo

Sin embargo, Mirai actúa como un punto final para una red bot y el gusano no está cambiando la memoria persistente del dispositivo IoT. Es decir, el firmware no está infectado. Esta es la razón por la cual un reinicio y un cambio inmediato de contraseña le devuelve el control sobre su dispositivo.

Los sistemas infectados se pueden limpiar reiniciándolos, pero dado que la búsqueda de estos dispositivos se realiza a una velocidad constante, es posible que se reinfecten a los pocos minutos de un reinicio. Esto significa que los usuarios tienen que cambiar la contraseña predeterminada inmediatamente después de reiniciar, o evitar que el dispositivo acceda a Internet hasta que puedan restablecer el firmware y cambiar la contraseña localmente.

Webroot.com: Lanzamiento del código fuente de Mirai IoT Malware

Evitar ser comprometido en primer lugar

¡Mirai no piratea tus dispositivos!

Mirai escanea continuamente Internet para dispositivos IoT y se conecta a ellos utilizando los nombres de usuario y contraseñas predeterminados de fábrica o codificados.

Webroot.com: Lanzamiento del código fuente de Mirai IoT Malware

Mirai utiliza inicios de sesión predeterminados de fábrica para comprometer sus dispositivos. Cambie la contraseña antes de darle a su dispositivo IoT cualquier conexión a Internet por primera vez y vivirá en una zona libre de Mirai.

Si la contraseña de su dispositivo no se puede cambiar y es un objetivo potencial de Mirai, considere cambiar a la competencia.

Helmar
fuente
6

Si tiene dispositivos vulnerables en su red, debe asumir que están comprometidos. Por definición, las credenciales de inicio de sesión son públicas, y creo que debe suponer que el firmware ha sido alterado. No es necesario esperar para observar la comunicación con el servidor de control de comandos o la actividad maliciosa.

Limpie el dispositivo ahora, asegúrese de proporcionar una contraseña nueva a cada dispositivo nuevo y escanee en la instalación.

Quizás el subtexto es cómo escanear en busca de vulnerabilidades de acceso remoto recientemente descubiertas en dispositivos existentes, pero no leí la pregunta específicamente.

Sean Houlihane
fuente
6

En lugar de buscar una solución autónoma. Puedes intentar automatizar la herramienta de Incapsula. Desafortunadamente, es un servicio disponible a través de un botón de página web, por lo que debe abrir esa página y hacer clic en el botón de forma autónoma.

Desde la fuente de la página puede obtener información sobre el botón en sí.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Entonces, tal vez con un script podría crear una tarea que se ejecute periódicamente que abra el sitio , encuentre el botón junto a la ID y haga clic en él y ejecute un escaneo.

No sé la forma exacta de hacer esto, pero quizás se pueda usar el paquete Selenium o Mechanize Python .

Bence Kaulics
fuente
3

Mirai ataca a Linux embebido. Primero deberá obtener acceso de línea de comandos a su dispositivo IoT. Después de eso, puede verificar las sumas de verificación del sistema de archivos de solo lectura y compararlas con versiones de firmware limpias. A veces, las empresas tienen el firmware original en línea, o puede contactarlos para obtener una copia. Si desea comprender cómo se suele empaquetar el firmware, le sugiero que busque en el programa Binwalk. OpenWrt tiene buena documentación sobre memoria flash. Cuando actualiza / actualiza el firmware en el dispositivo IoT, las secciones del firmware (kernel, sistema de archivos raíz de solo lectura, sección de configuración grabable) se almacenan en particiones MTD en el chip flash de IoT. Puede copiar / descargar estas particiones (/ dev / mtdblock1 es un ejemplo de Linux) y compararlas con el firmware original, a través de sumas de verificación. Si temes un rootkit y no confías en la línea de comando,

GusGorman402
fuente
1
Comprobar el firmware a través del acceso a la línea de comandos no tiene sentido. Una vez que el dispositivo se ve comprometido, no puede confiar en lo que ve en la línea de comandos. Leer ayuda! ¡La PC de mi casa ha sido infectada por un virus! ¿Qué hago ahora? - está escrito sobre una PC pero se aplica a cualquier computadora, incluidos los dispositivos IoT.
Gilles 'SO- deja de ser malo'