Wie kann ich überprüfen, ob meine IoT-Geräte mit dem Mirai-Wurm infiziert sind?

27

Ich habe kürzlich von dem Mirai-Wurm gehört , der anfällige Router, IoT-Geräte und andere mit dem Internet verbundene Geräte mit unsicheren Passwörtern infiziert. Mirai wird verdächtigt, die Ursache einiger der größten DDoS-Angriffe in der Geschichte zu sein :

Dyn schätzte, dass der Angriff „100.000 böswillige Endpunkte“ beinhaltete, und das Unternehmen, das den Angriff noch untersucht, gab an, es habe Berichte über eine außergewöhnliche Angriffsstärke von 1,2 TBit / s gegeben.

Die Frage Kann ich mein Netzwerk auf unerwünschte IoT-Geräteaktivitäten überwachen? Bietet einige nützliche allgemeine Tipps zum Erkennen von Malware in meinem IoT-Netzwerk. Wie kann ich jedoch überprüfen, ob meine Geräte mit der Malware infiziert sind ? Incapsula bietet ein lauffähiges Tool , mit dem nach Geräten gesucht werden kann, die für Mirai anfällig sind. Es gibt jedoch eine Möglichkeit, autonom zu überprüfen, ob Geräte in meinem Netzwerk infiziert sind (oder Echtzeitschutz bieten), damit das Programm nicht weiter ausgeführt werden muss Werkzeug, wenn ich mich erinnere?

Aurora0001
quelle

Antworten:

17

Erkennen des infizierten Geräts

Dieses geräteumgewandelte Botnetz funktioniert für den ahnungslosen Besitzer immer noch einwandfrei, abgesehen von der gelegentlich schleppenden Bandbreite, und sein Botnetz-Verhalten wird möglicherweise unbemerkt bleiben.

Webroot.com: Quellcode für Mirai IoT Malware veröffentlicht

Hier erfahren wir, wie das Gerät sein Verhalten ändert. Gelegentlich auftretende Bandbreitenschwächen sind leider ein sehr schlechter Indikator. Die andere Sache, die Mirai macht, ist, Ports zu blockieren, um zu vermeiden, dass Überwachungstools sie erkennen.

Nach diesen beiden Merkmalen kann gesucht werden. Die erste Lösung erfordert eine hochentwickelte Lösung zur Überwachung des Netzwerkverkehrs und genaue Kenntnisse darüber, welche Art von Verkehr Sie in Ihrem Netzwerk erwarten. Wenn Ihr IoT-Gerät nicht über eine WiFi-Verbindung, sondern über 3G oder andere Mobilfunkstandards kommuniziert, haben Sie ein ziemliches Pech, weil Sie diese nicht überwachen können. Zumindest nicht leicht und in den meisten Gerichtsbarkeiten nicht legal.

Das zweite Mirai-Feature ist das, wonach Incapsula auch sucht. Wenn die Ports geschlossen sind, liegt möglicherweise eine Mirai-Infektion vor. Da ein Neustart das Gerät vorübergehend von Mirais Kupplungen befreit, kann die Änderung der Portverfügbarkeit in der Zeit nach einem Neustart als ein sehr wahrscheinliches Zeichen dafür angesehen werden, dass das Gerät kompromittiert wurde.

Denken Sie daran, dass Incapsula keine Sicherheit bietet, sondern nur Informationen zu Geräten bereitstellt, bei denen es sich um mögliche Ziele handelt, und zu Geräten, die möglicherweise infiziert wurden. Aus diesem Grund ist es wichtig zu wissen, dass die Mirai, so mächtig sie auch sein mag, auf kleinem Raum kein unschlagbarer Feind ist und sogar Infektionen leicht verhindert werden können.

In den nächsten beiden Abschnitten wird gezeigt, dass das Erkennen viel zu aufwändig ist, als dass Sie ein Gerät an erster Stelle oder Ihr Gerät auf einem Buckel sichern würden.

Gerät neu erfassen

Mirai fungiert jedoch als Endpunkt für ein Botnetz und der Wurm ändert nicht den persistenten Speicher des IoT-Geräts. Dh die Firmware ist nicht infiziert. Dies ist der Grund, warum Sie durch einen Neustart und eine sofortige Kennwortänderung wieder die Kontrolle über Ihr Gerät erlangen.

Infizierte Systeme können durch einen Neustart gesäubert werden. Da die Suche nach diesen Geräten jedoch mit einer konstanten Geschwindigkeit erfolgt, können sie innerhalb von Minuten nach einem Neustart erneut infiziert werden. Dies bedeutet, dass Benutzer das Standardkennwort sofort nach dem Neustart ändern müssen oder verhindern müssen, dass das Gerät auf das Internet zugreift, bis sie die Firmware zurücksetzen und das Kennwort lokal ändern können.

Webroot.com: Quellcode für Mirai IoT Malware veröffentlicht

Verhindern Sie, dass Sie in erster Linie kompromittiert werden

Mirai hackt Ihre Geräte nicht!

Mirai durchsucht das Internet kontinuierlich nach IoT-Geräten und meldet sich mit den werkseitigen Standard- oder fest codierten Benutzernamen und Passwörtern an.

Webroot.com: Quellcode für Mirai IoT Malware veröffentlicht

Mirai verwendet die werkseitigen Standardanmeldungen, um Ihre Geräte zu gefährden. Ändern Sie das Kennwort, bevor Sie Ihrem IoT-Gerät zum ersten Mal eine Internetverbindung zuweisen, und Sie werden in einer Mirai-Freihandelszone leben.

Wenn Ihr Gerätekennwort nicht geändert werden kann und es sich um ein potenzielles Mirai-Ziel handelt, sollten Sie zur Konkurrenz wechseln.

Helmar
quelle
6

Wenn Sie in Ihrem Netzwerk anfällige Geräte haben, sollten Sie davon ausgehen, dass diese gefährdet sind. Per Definition sind die Anmeldeinformationen öffentlich und ich glaube, Sie müssen davon ausgehen, dass die Firmware manipuliert wurde. Sie müssen nicht warten, um die Kommunikation mit dem Befehlssteuerungsserver oder böswillige Aktivitäten zu beobachten.

Reinigen Sie das Gerät jetzt, geben Sie jedem neuen Gerät ein neues Kennwort und scannen Sie es bei der Installation.

Vielleicht lautet der Untertext, wie auf vorhandenen Geräten nach neu entdeckten Sicherheitslücken für den Remotezugriff gesucht wird, aber ich lese die Frage nicht so, dass ich sie speziell stelle.

Sean Houlihane
quelle
6

Anstatt nach einer autonomen Lösung zu suchen. Sie können versuchen, das Incapsula-Tool zu automatisieren. Leider ist es ein Dienst, der über eine Webseitenschaltfläche verfügbar ist. Sie müssen diese Seite also öffnen und autonom auf die Schaltfläche klicken.

Aus der Seitenquelle können Sie Informationen über die Schaltfläche selbst erhalten.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Vielleicht könnten Sie mit einem Skript eine periodisch ausgeführte Aufgabe erstellen, die die Site öffnet , die Schaltfläche an der ID findet, darauf klickt und einen Scan ausführt.

Ich weiß nicht genau, wie das geht, aber vielleicht können Selenium- oder Mechanize Python-Pakete verwendet werden.

Bence Kaulics
quelle
3

Mirai greift Embedded Linux an. Sie müssten zunächst über die Befehlszeile auf Ihr IoT-Gerät zugreifen. Danach können Sie die Prüfsummen des Nur-Lese-Dateisystems überprüfen und sie mit sauberen Firmware-Versionen vergleichen. Manchmal haben Unternehmen die Original-Firmware online oder Sie können sich an sie wenden, um eine Kopie zu erhalten. Wenn Sie verstehen möchten, wie Firmware normalerweise verpackt wird, schlage ich vor, in das Programm Binwalk zu schauen. OpenWrt verfügt über eine gute Dokumentation zum Flash-Speicher. Wenn Sie Firmware auf das IoT-Gerät flashen / neu flashen, werden Abschnitte der Firmware (Kernel, Nur-Lese-Root-Dateisystem, beschreibbarer Konfigurationsabschnitt) in MTD-Partitionen auf dem Flash-Chip des IoT gespeichert. Sie können diese Partitionen kopieren / herunterladen (/ dev / mtdblock1 ist ein Linux-Beispiel) und diese über Prüfsummen mit der ursprünglichen Firmware vergleichen. Wenn Sie ein Rootkit fürchten und der Befehlszeile nicht vertrauen,

GusGorman402
quelle
1
Das Überprüfen der Firmware über den Befehlszeilenzugriff ist sinnlos. Sobald das Gerät kompromittiert ist, können Sie dem, was Sie in der Befehlszeile sehen, nicht mehr vertrauen. Lesen Sie die Hilfe! Mein Heim-PC wurde von einem Virus infiziert! Was mache ich jetzt? - Es wurde über einen PC geschrieben, gilt jedoch für alle Computer, einschließlich IoT-Geräte.
Gilles 'SO- hör auf böse zu sein'