Wird das Ändern meines Benutzernamens und Passworts Mirai-Angriffe blockieren?

7

Ich habe kürzlich über Mirai gelesen , Malware, deren Quelle enthüllt wurde und die IoT-Geräte infizieren soll. Es scheint eine ernsthafte Bedrohung für sicherheitsgefährdete Internet of Things-Geräte zu sein. Laut Wikipedia :

Mirai (japanisch für "die Zukunft") ist Malware, die Computersysteme unter Linux in ferngesteuerte "Bots" verwandelt, die als Teil eines Botnetzes bei großen Netzwerkangriffen verwendet werden können. Es richtet sich in erster Linie an Online-Consumer-Geräte wie Remote-Kameras und Heimrouter. Das Mirai-Botnetz wurde bei einigen der größten und störendsten DDoS-Angriffe (Distributed Denial of Service) eingesetzt, darunter ein Angriff auf die Website des Computersicherheitsjournalisten Brian Krebs am 20. September 2016, ein Angriff auf den französischen Webhost OVH und der Oktober 2016 Dyn Cyberangriff.

Der Artikel (und andere, die ich online gelesen habe) zeigt, dass Mirai den Angriff ausführt, indem er das Internet nach Geräten durchsucht, die werkseitig Standardbenutzernamen und -kennwörter aus einer Datenbank verwenden. Reicht es dann aus, einfach Ihren Benutzernamen und Ihr Passwort auf einem IoT-Gerät zu ändern? Wird das es vor dem Mirai-Angriff schützen, oder hat Mirai andere Methoden, um es zu schaffen?

Hinweis: Ich frage nicht, wie ich feststellen kann, ob meine Geräte infiziert sind: Ich frage, ob das Ändern des Kennworts ausreicht, um eine Infektion zu verhindern.

anonym2
quelle

Antworten:

4

Der Quellcode von Mirai wurde öffentlich veröffentlicht , und Jerry Gamblin hat freundlicherweise ein GitHub-Repository erstellt, damit Sie den Code für solche Forschungs- / akademischen Zwecke leicht durchsuchen können.

Ich denke, Sie erhalten die maßgeblichste Antwort, wenn Sie den Code zerlegen, um herauszufinden, wie Mirai seine Ziele findet. Ich habe mich also ein wenig umgesehen und Folgendes gefunden:

  1. Es gibt 61 eindeutige Kombinationen aus Benutzername und Passwort, mit denen Mirai programmiert ist (diese sind fest codiert) .

  2. Der Scanner sucht nur in einer begrenzten Anzahl von Subnetzen nach Zielen . Dies sind: 127.0.0.0/8, 0.0.0.0/8, 3.0.0.0/8, 15.0.0.0/7, 56.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/14 , 100.64.0.0/10, 169.254.0.0/16, 198.18.0.0/15, 224. . . * +, {6, 7, 11, 21, 22, 26, 28, 29, 30, 33, 55, 214, 215} .0.0.0 / 8. Ich habe den letzten Satz von Blöcken gruppiert, da diese in den Kommentaren des Codes alle als "Verteidigungsministerium" gekennzeichnet waren.

  3. Mirai führt einen eher primitiven SYN-Scan durch , um festzustellen, ob Ports offen sind. Wenn Sie nicht mit der Funktionsweise von SYN-Scans vertraut sind, müssen Sie im Wesentlichen ein TCP- SYN- Paket senden. Dies ist der normale Vorgang zum Starten einer TCP-Verbindung. Der Angreifer wartet dann in der Hoffnung, ein SYN-ACK-Paket zu erhalten, das bestätigt, dass das Ziel den angegebenen Port überwacht. Sie können mehr über den Prozess auf Wikipedia lesen .

  4. Alle Ziele, die mit einem SYN-ACK antworten , werden einer Liste potenzieller Opfer hinzugefügt .

  5. Mirai wählt ein Passwort aus, um es halb zufällig zu versuchen , und verwendet dabei ein Gewichtungssystem. Er versucht, eine Verbindung damit herzustellen .

  6. Mirai überwacht dann, ob die Verbindung erfolgreich war

  7. Wenn die Verbindung unterbrochen wird oder etwas schief geht, versucht Mirai es maximal 10 Mal .

  8. Wenn all dies gelingt, Pech. Ihr Gerät ist jetzt infiziert, bis es neu startet!

Um Ihre Frage zusammenzufassen: Ja, die öffentlich bekannte Version von Mirai wird besiegt, wenn Sie den Benutzernamen und das Passwort ändern . Jeder, der seine Kopie von Mirai geändert hat, hätte möglicherweise zusätzliche Angriffsmethoden hinzufügen können, obwohl Sie diese möglicherweise nicht mehr als denselben Malware-Typ klassifizieren.

Aurora0001
quelle