¿Cambiar mi nombre de usuario y contraseña bloqueará los ataques de Mirai?

7

Recientemente he estado leyendo sobre Mirai , malware cuya fuente ha sido revelada y que está diseñada para infectar dispositivos IoT. Parece ser una seria amenaza para la seguridad de los dispositivos de Internet de las cosas comprometidos. De acuerdo con Wikipedia :

Mirai (japonés para "el futuro") es un malware que convierte los sistemas informáticos que ejecutan Linux en "bots" controlados de forma remota, que pueden usarse como parte de una botnet en ataques de red a gran escala. Se dirige principalmente a dispositivos de consumo en línea, como cámaras remotas y enrutadores domésticos. La botnet Mirai se ha utilizado en algunos de los ataques de denegación de servicio (DDoS) distribuidos más grandes y más disruptivos, incluido un ataque el 20 de septiembre de 2016 en el sitio web del periodista de seguridad informática Brian Krebs, un ataque al host web francés OVH y el octubre de 2016 Dyn ciberataque.

El artículo (y otros que he leído en línea) muestra que Mirai ataca arrancando en Internet dispositivos que utilizan nombres de usuario y contraseñas predeterminados de fábrica de una base de datos. ¿Es suficiente, entonces, simplemente cambiar su nombre de usuario y contraseña en un dispositivo IoT? ¿Eso lo protegerá del ataque Mirai, o Mirai tiene otros métodos para hacerlo?

Nota: no estoy preguntando cómo saber si mis dispositivos están infectados: estoy preguntando si cambiar la contraseña es adecuado para prevenir la infección.

anónimo2
fuente

Respuestas:

4

El código fuente de Mirai se ha publicado en público , y Jerry Gamblin ha creado amablemente un repositorio de GitHub para que pueda ver fácilmente el código con fines académicos / de investigación como este.

Creo que obtendrá la respuesta más autorizada diseccionando el código para descubrir cómo Mirai encuentra sus objetivos, así que eché un vistazo y he aquí lo que encontré:

  1. Hay 61 combinaciones únicas de nombre de usuario / contraseña con las que Mirai está programado (estas están codificadas) .

  2. El escáner busca solo en un conjunto limitado de subredes para encontrar objetivos . Estos son: 127.0.0.0/8, 0.0.0.0/8, 3.0.0.0/8, 15.0.0.0/7, 56.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/14 , 100.64.0.0/10, 169.254.0.0/16, 198.18.0.0/15, 224 .. . * +, {6, 7, 11, 21, 22, 26, 28, 29, 30, 33, 55, 214, 215} .0.0.0 / 8. Agrupé el último conjunto de bloques porque todos estaban etiquetados como "Departamento de Defensa" en los comentarios del código.

  3. Mirai realiza un escaneo SYN bastante primitivo para tratar de encontrar si hay puertos abiertos. Si no está familiarizado con el funcionamiento de los escaneos SYN, básicamente implican enviar un paquete TCP SYN , que es el proceso normal de iniciar una conexión TCP. Luego, el atacante espera con la esperanza de recibir un paquete SYN-ACK, que confirmaría que el objetivo está escuchando en el puerto especificado. Puedes leer más sobre el proceso en Wikipedia .

  4. Cualquier objetivo que responda con un SYN-ACK se agrega a una lista de posibles víctimas .

  5. Mirai selecciona una contraseña para probar de forma semialeatoria , usando algún tipo de sistema de ponderación e intenta conectarse usando eso .

  6. Mirai luego monitorea para verificar si su conexión fue exitosa

  7. Si la conexión se agota o algo sale mal, Mirai vuelve a intentarlo por un máximo de 10 intentos .

  8. Si todo esto tiene éxito, mala suerte. ¡Su dispositivo ahora está infectado hasta que se reinicie!

Entonces, en resumen, para responder a su pregunta, sí, la versión de Mirai conocida públicamente será derrotada si cambia el nombre de usuario y la contraseña . Sin embargo, cualquiera que haya modificado su copia de Mirai podría haber agregado vectores de ataque adicionales, aunque es posible que ya no lo clasifique como el mismo tipo de malware.

Aurora0001
fuente