感染したデバイスの検出
これらのデバイスがボットネットになったデバイスは、帯域幅が時折低迷することを除けば、疑いを持たない所有者に対しては引き続き正しく機能し、ボットネットの動作はいつまでも気付かれない可能性があります。
Webroot.com:Mirai IoT Malwareのソースコードがリリースされました
これにより、デバイスの動作がどのように変化するかがわかります。時々、帯域幅の低迷は、目を光らせるのに非常に悪い指標です。Miraiが行うもう1つのことは、ポートをブロックして、それを検出する監視ツールを回避することです。
これらの2つの機能を探すことができます。1つ目は、非常に高度なネットワークトラフィック監視ソリューションと、ネットワークで期待されるトラフィックの種類に関する複雑な知識が必要です。IoTデバイスがWiFi接続を介して通信せず、3Gまたは他のモバイル通信規格を介して通信する場合、それらを監視できないため、ほとんど運がありません。少なくとも簡単ではなく、ほとんどの法域では合法ではありません。
2番目のMirai機能は、Incapsulaもスキャンするものです。ポートが閉じている場合、Mirai感染の可能性があります。再起動すると、デバイスがMiraiのクラッチから一時的に解放されるため、再起動後のポートの可用性の変化は、デバイスが侵害された可能性が非常に高い兆候と見なされます。
Incapsulaは確実性を提供するのではなく、可能性のあるターゲットであるデバイスおよび感染した可能性のあるデバイスに関する情報のみを提供することに留意してください。これが、ミライがどんなに強力な攻撃を仕掛けても、それが小さなスコープで無敵の敵ではなく、感染を防ぐことさえ簡単であることを認識することが重要である理由です。
次の2つのセクションでは、デバイスを最初に保護したり、デバイスを安全に保護したりする場合に比べて、検出が非常に手間がかかることを示します。
デバイスの再キャプチャ
ただし、Miraiはボットネットのエンドポイントとして機能し、ワームはIoTデバイスの永続メモリを変更しません。つまり、ファームウェアは感染していません。これが、再起動と即時のパスワード変更により、デバイスの制御を取り戻すことができる理由です。
感染したシステムは再起動することで駆除できますが、これらのデバイスのスキャンは一定の速度で行われるため、再起動後数分以内に再感染する可能性があります。これは、ユーザーが再起動後すぐにデフォルトのパスワードを変更するか、ファームウェアをリセットしてパスワードをローカルで変更できるようになるまでデバイスがインターネットにアクセスできないようにする必要があることを意味します。
Webroot.com:Mirai IoT Malwareのソースコードがリリースされました
そもそも侵害されないようにする
Miraiはデバイスをハッキングしません!
Miraiは、インターネットでIoTデバイスを継続的にスキャンし、工場出荷時のデフォルトまたはハードコードされたユーザー名とパスワードを使用してログインします。
Webroot.com:Mirai IoT Malwareのソースコードがリリースされました
Miraiは、工場出荷時のデフォルトログインを使用してデバイスを侵害します。IoTデバイスに初めてインターネット接続を与える前にパスワードを変更すると、Miraiの無料ゾーンに住むことになります。
デバイスのパスワードを変更できず、Miraiのターゲットになる可能性がある場合は、競合への切り替えを検討してください。