IoTデバイスがMiraiワームに感染しているかどうかを確認するにはどうすればよいですか?


27

最近、Miraiワームについて聞いたことがあります。Miraiワームは、脆弱なルーター、IoTデバイス、その他のインターネットに接続されたアプライアンスに安全でないパスワードを感染させます。Miraiは、歴史上最大のDDoS攻撃の原因であると疑われています。

Dynは、この攻撃には「100,000の悪意のあるエンドポイント」が関与していたと推定しており、攻撃をまだ調査している会社は、1.2Tbpsの異常な攻撃強度の報告があったと述べました。

質問は、私は、不正のIoTデバイスの活動のための私のネットワークを監視することはできますか?IoTネットワークでマルウェアを見つけるための便利な一般的なヒントを提供しています、デバイスマルウェアに感染しているかどうかを確認するにはどうすればよいですか?Incapsulaは、 Miraiに対して脆弱なデバイスをスキャンできる実行ツール提供しますが、ネットワーク上のデバイスが感染しているかどうかを自律的に確認する方法があります(またはリアルタイム保護を提供します)。覚えているときのツール?

回答:


17

感染したデバイスの検出

これらのデバイスがボットネットになったデバイスは、帯域幅が時折低迷することを除けば、疑いを持たない所有者に対しては引き続き正しく機能し、ボットネットの動作はいつまでも気付かれない可能性があります。

Webroot.com:Mirai IoT Malwareのソースコードがリリースされました

これにより、デバイスの動作がどのように変化するかがわかります。時々、帯域幅の低迷は、目を光らせるのに非常に悪い指標です。Miraiが行うもう1つのことは、ポートをブロックして、それを検出する監視ツールを回避することです。

これらの2つの機能を探すことができます。1つ目は、非常に高度なネットワークトラフィック監視ソリューションと、ネットワークで期待されるトラフィックの種類に関する複雑な知識が必要です。IoTデバイスがWiFi接続を介して通信せず、3Gまたは他のモバイル通信規格を介して通信する場合、それらを監視できないため、ほとんど運がありません。少なくとも簡単ではなく、ほとんどの法域では合法ではありません。

2番目のMirai機能は、Incapsulaもスキャンするものです。ポートが閉じている場合、Mirai感染の可能性があります。再起動すると、デバイスがMiraiのクラッチから一時的に解放されるため、再起動後のポートの可用性の変化は、デバイスが侵害された可能性が非常に高い兆候と見なされます。

Incapsulaは確実性を提供するのではなく、可能性のあるターゲットであるデバイスおよび感染した可能性のあるデバイスに関する情報のみを提供することに留意してください。これが、ミライがどんなに強力な攻撃を仕掛けても、それが小さなスコープで無敵の敵ではなく、感染を防ぐことさえ簡単であることを認識することが重要である理由です。

次の2つのセクションでは、デバイスを最初に保護したり、デバイスを安全に保護したりする場合に比べて、検出が非常に手間がかかることを示します。

デバイスの再キャプチャ

ただし、Miraiはボットネットのエンドポイントとして機能し、ワームはIoTデバイスの永続メモリを変更しません。つまり、ファームウェアは感染していません。これが、再起動と即時のパスワード変更により、デバイスの制御を取り戻すことができる理由です。

感染したシステムは再起動することで駆除できますが、これらのデバイスのスキャンは一定の速度で行われるため、再起動後数分以内に再感染する可能性があります。これは、ユーザーが再起動後すぐにデフォルトのパスワードを変更するか、ファームウェアをリセットしてパスワードをローカルで変更できるようになるまでデバイスがインターネットにアクセスできないようにする必要があることを意味します。

Webroot.com:Mirai IoT Malwareのソースコードがリリースされました

そもそも侵害されないようにする

Miraiはデバイスをハッキングしません!

Miraiは、インターネットでIoTデバイスを継続的にスキャンし、工場出荷時のデフォルトまたはハードコードされたユーザー名とパスワードを使用してログインします。

Webroot.com:Mirai IoT Malwareのソースコードがリリースされました

Miraiは、工場出荷時のデフォルトログインを使用してデバイスを侵害します。IoTデバイスに初めてインターネット接続を与える前にパスワードを変更すると、Miraiの無料ゾーンに住むことになります。

デバイスのパスワードを変更できず、Miraiのターゲットになる可能性がある場合は、競合への切り替えを検討してください。


6

ネットワーク上に脆弱なデバイスがある場合、それらが侵害されていると想定する必要があります。定義上、ログイン資格情報は公開されており、ファームウェアが改ざんされていると想定する必要があると思います。コマンド制御サーバーとの通信や悪意のあるアクティビティを監視するために待つ必要はありません。

ここでデバイスをクリーニングし、すべての新しいデバイスに新しいパスワードを指定し、インストール時にスキャンします。

サブテキストは、既存のデバイスで新しく発見されたリモートアクセスの脆弱性をスキャンする方法かもしれませんが、それを具体的に尋ねる質問は読みません。


6

自律的なソリューションを探す代わりに。Incapsulaのツールを自動化してみることができます。残念ながら、それはウェブページのボタンから利用できるサービスなので、そのページを開いて、ボタンを自律的にクリックする必要があります。

ページソースから、ボタン自体に関する情報を取得できます。

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

そのため、スクリプトを使用して、サイトを開き、IDでボタンを見つけてクリックし、スキャンを実行する定期的に実行されるタスクを作成できます。

これを行う正確な方法はわかりませんが、SeleniumまたはMechanize Pythonパッケージを使用できます。


3

Miraiは組み込みLinuxを攻撃します。まず、IoTデバイスへのコマンドラインアクセスを取得する必要があります。その後、読み取り専用ファイルシステムのチェックサムを確認し、それらをクリーンなファームウェアバージョンと比較できます。企業は元のファームウェアをオンラインで持っている場合もあれば、コピーを入手して問い合わせることもできます。ファームウェアの通常のパッケージ方法を理解したい場合は、プログラムBinwalkを調べることをお勧めします。OpenWrtには、フラッシュメモリに関する適切なドキュメントがあります。ファームウェアをIoTデバイスにフラッシュ/リフラッシュすると、ファームウェアのセクション(カーネル、読み取り専用ルートファイルシステム、書き込み可能な構成セクション)がIoTのフラッシュチップ上のMTDパーティションに保存されます。これらのパーティション(/ dev / mtdblock1はLinuxの例です)をコピー/ダウンロードし、チェックサムを介して元のファームウェアと比較できます。ルートキットを恐れていて、コマンドラインを信頼していない場合は、


1
コマンドラインアクセスによるファームウェアのチェックは無意味です。デバイスが侵害されると、コマンドラインに表示されるものを信頼できなくなります。ヘルプを読む自宅のPCがウイルスに感染しています!私は今何をしますか?— PCについて書かれていますが、IoTデバイスを含むすべてのコンピューターに適用されます。
ジル 'SO-悪であるのをやめる'
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.