Bagaimana saya bisa memeriksa apakah perangkat IOT saya terinfeksi oleh cacing Mirai?


27

Baru-baru ini saya mendengar tentang cacing Mirai , yang menginfeksi router yang rentan, perangkat IoT dan peralatan yang terhubung internet lainnya dengan kata sandi yang tidak aman. Mirai diduga sebagai penyebab beberapa serangan DDoS terbesar dalam sejarah :

Dyn memperkirakan bahwa serangan itu melibatkan "100.000 titik akhir berbahaya", dan perusahaan, yang masih menyelidiki serangan itu, mengatakan telah ada laporan kekuatan serangan luar biasa sebesar 1,2Tbps.

Pertanyaannya Dapatkah saya memonitor jaringan saya untuk aktivitas perangkat IoT yang nakal? memberikan beberapa tips generik yang berguna untuk bercak malware pada jaringan IOT saya, tapi bagaimana saya bisa memeriksa apakah perangkat saya yang terinfeksi dengan malware? Incapsula menyediakan alat untuk menjalankan yang dapat memindai perangkat yang rentan terhadap Mirai, tetapi apakah ada cara untuk memeriksa secara mandiri apakah ada perangkat di jaringan saya yang terinfeksi (atau memberikan perlindungan waktu nyata) sehingga saya tidak harus terus menjalankan alat ketika saya ingat?

Jawaban:


17

Mendeteksi perangkat yang terinfeksi

Perangkat-berubah-botnet ini masih akan berfungsi dengan benar untuk pemilik yang tidak curiga, terlepas dari bandwidth yang sesekali lamban, dan perilaku botnet mereka mungkin tidak diketahui tanpa batas waktu.

Webroot.com: Kode Sumber untuk Malai IoT Malware Dirilis

Ini memberitahu kita bagaimana perangkat mengubah perilakunya. Bandwidth lambat sesekali sayangnya merupakan indikator yang sangat buruk untuk diwaspadai. Hal lain yang dilakukan Mirai adalah memblokir port untuk menghindari alat pemantauan untuk mendeteksinya.

Kedua fitur ini dapat dicari. Yang pertama membutuhkan solusi pemantauan lalu lintas jaringan yang sangat canggih dan pengetahuan yang rumit tentang jenis lalu lintas yang Anda harapkan di jaringan Anda. Jika perangkat IoT Anda tidak berkomunikasi melalui koneksi WiFi tetapi melalui 3G atau standar telekomunikasi seluler lainnya, Anda kurang beruntung karena Anda tidak dapat memonitornya. Setidaknya tidak mudah dan di sebagian besar wilayah hukum tidak secara hukum.

Fitur Mirai kedua adalah hal yang juga dipindai oleh Incapsula. Jika port ditutup ada kemungkinan infeksi Mirai. Sejak mem-boot ulang untuk sementara waktu membebaskan perangkat dari cengkeraman Mirai, perubahan ketersediaan port pada saat setelah reboot dapat diambil sebagai tanda yang sangat mungkin bahwa perangkat telah dikompromikan.

Perlu diingat, bahwa Incapsula tidak memberikan kepastian tetapi hanya memberikan informasi Anda tentang perangkat yang mungkin menjadi target dan perangkat yang mungkin telah terinfeksi. Inilah sebabnya mengapa penting untuk menyadari bahwa Mirai betapapun kuatnya serangan itu dapat menerjangnya bukan musuh yang tak terkalahkan dalam lingkup kecil, itu bahkan mudah untuk mencegah infeksi.

Dua bagian berikutnya akan menunjukkan bahwa mendeteksi terlalu banyak upaya dibandingkan dengan mengamankan perangkat di tempat pertama atau mengamankan perangkat Anda di firasat.

Merebut kembali perangkat Anda

Namun, Mirai bertindak sebagai titik akhir untuk bot net dan worm tidak mengubah memori persisten perangkat IoT. Yaitu firmware tidak terinfeksi. Ini adalah alasan mengapa reboot dan perubahan kata sandi langsung memberi Anda kontrol kembali atas perangkat Anda.

Sistem yang terinfeksi dapat dibersihkan dengan me-reboot-nya, tetapi karena pemindaian untuk perangkat-perangkat ini terjadi pada tingkat yang konstan, mungkin saja mereka terinfeksi ulang dalam beberapa menit setelah reboot. Ini berarti pengguna harus mengubah kata sandi default segera setelah reboot, atau mencegah perangkat mengakses internet sampai mereka dapat mengatur ulang firmware dan mengubah kata sandi secara lokal.

Webroot.com: Kode Sumber untuk Malai IoT Malware Dirilis

Mencegah dikompromikan di tempat pertama

Mirai tidak meretas perangkat Anda!

Mirai terus memindai internet untuk perangkat IoT dan login ke dalamnya menggunakan nama pengguna dan kata sandi standar pabrik atau hard-coded.

Webroot.com: Kode Sumber untuk Malai IoT Malware Dirilis

Mirai menggunakan login default pabrik untuk membahayakan perangkat Anda. Ubah kata sandi sebelum memberikan perangkat IoT Anda koneksi Internet untuk pertama kalinya dan Anda akan hidup di zona bebas Mirai.

Jika kata sandi perangkat Anda tidak dapat diubah dan itu adalah target potensial Mirai, pertimbangkan untuk beralih ke kompetisi.


6

Jika Anda memiliki perangkat yang rentan di jaringan Anda, Anda harus menganggap mereka terganggu. Menurut definisi, kredensial masuk bersifat publik, dan saya yakin Anda harus menganggap firmware telah dirusak. Tidak perlu menunggu untuk mengamati komunikasi dengan server kontrol-perintah atau aktivitas jahat.

Bersihkan perangkat sekarang, pastikan Anda memberi setiap perangkat kata sandi baru, dan pindai saat instalasi.

Mungkin subteksnya adalah cara memindai kerentanan akses jarak jauh yang baru ditemukan pada perangkat yang ada, tetapi saya tidak membaca pertanyaan yang menanyakannya secara khusus.


6

Alih-alih mencari solusi otonom. Anda dapat mencoba mengotomatiskan alat Incapsula. Sayangnya ini adalah layanan yang tersedia melalui tombol halaman web, jadi Anda harus membuka halaman itu dan mengklik tombol itu secara mandiri.

Dari sumber halaman Anda dapat memperoleh informasi tentang tombol itu sendiri.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Jadi mungkin dengan skrip Anda dapat membuat tugas yang berjalan secara berkala yang membuka situs , menemukan tombol dengan ID dan mengkliknya dan menjalankan pemindaian.

Saya tidak tahu persis cara melakukan ini, tapi mungkin paket Selenium atau Mechanize Python dapat digunakan.


3

Mirai menyerang linux tertanam. Pertama-tama Anda harus mendapatkan akses baris perintah ke perangkat IoT Anda. Setelah itu Anda dapat memeriksa checksum dari sistem file read-only, dan membandingkannya dengan membersihkan versi firmware. Terkadang perusahaan memiliki firmware asli online, atau Anda dapat menghubungi mereka untuk salinan. Jika Anda ingin memahami bagaimana firmware biasanya dikemas, saya sarankan melihat ke dalam program Binwalk. OpenWrt memiliki dokumentasi yang baik tentang memori flash. Ketika Anda mem-flash / mem-reflash firmware ke perangkat IoT, bagian-bagian dari firmware (kernel, sistem file root hanya baca, bagian konfigurasi yang dapat ditulis) disimpan dalam partisi MTD pada chip flash IoT. Anda dapat menyalin / mengunduh partisi ini (/ dev / mtdblock1 adalah contoh linux) dan membandingkannya dengan firmware asli, melalui checksum. Jika Anda takut rootkit dan tidak mempercayai baris perintah,


1
Memeriksa firmware melalui akses baris perintah tidak ada gunanya. Setelah perangkat dikompromikan, Anda tidak bisa mempercayai apa yang Anda lihat di baris perintah. Baca Bantuan! PC rumahan saya telah terinfeksi oleh virus! Apa yang saya lakukan sekarang? - ini ditulis tentang PC tetapi berlaku untuk komputer apa saja termasuk perangkat IoT.
Gilles 'SANGAT berhenti menjadi jahat'
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.