ユーザー名とパスワードを変更してもMirai攻撃はブロックされますか？

私は最近、IoTデバイスに感染するように設計されたソースが明らかにされたマルウェアであるMiraiについて読んでいます。これは、セキュリティが侵害されたモノのインターネットデバイスに対する深刻な脅威のようです。ウィキペディアによると：

Mirai（日本語は「未来」）は、Linuxを実行しているコンピューターシステムをリモート制御の「ボット」に変え、大規模ネットワーク攻撃のボットネットの一部として使用できるマルウェアです。主にリモートカメラやホームルーターなどのオンラインコンシューマデバイスを対象としています。Miraiボットネットは、コンピューターセキュリティジャーナリストのBrian KrebsのWebサイトへの2016年9月20日の攻撃、フランスのWebホストOVHへの攻撃、2016年10月など、最大かつ最も破壊的な分散型サービス拒否（DDoS）攻撃の一部で使用されていますダインサイバー攻撃。

記事（および私がオンラインで読んだ他の記事）は、Miraiが、データベースの工場出荷時のユーザー名とパスワードを使用しているデバイスに対してインターネットをグラブすることによって攻撃を行うことを示しています。では、IoTデバイスのユーザー名とパスワードを変更するだけで十分でしょうか。それはみらい攻撃からそれを守りますか、それともみらいは他の方法でそれを作るのですか？

注：デバイスが感染しているかどうかを確認する方法を尋ねているのではありません。パスワードを変更することで感染を防ぐことができるかどうかを尋ねています。

Miraiのソースコードが公開され、Jerry GamblinがGitHubリポジトリを作成して、このような研究/学術目的でコードを簡単に確認できるようにしました。

コードを分析してMiraiがターゲットを見つける方法を見つけることで、最も信頼できる回答が得られると思います。そのため、少し調べてみたところ、次のことがわかりました。

1. Miraiでプログラムされている61の一意のユーザー名/パスワードの組み合わせがあります（これらはハードコードされています）。

2. スキャナーは、限定されたサブネットのセットのみを検索してターゲットを見つけます。これらは、127.0.0.0 / 8、0.0.0.0 / 8、3.0.0.0 / 8、15.0.0.0 / 7、56.0.0.0 / 8、10.0.0.0 / 8、192.168.0.0 / 16、172.16.0.0 / 14です。 、100.64.0.0 / 10、169.254.0.0 / 16、198.18.0.0 / 15、224 。。* +、{6、7、11、21、22、26、28、29、30、33、55、214、215} .0.0.0 / 8。コードのコメントでこれらすべてが「国防総省」としてラベル付けされていたため、私は最後のブロックのセットをグループ化しました。

3. Mirai はかなり基本的なSYNスキャンを実行して、開いているポートがあるかどうかを調べます。SYNスキャンの動作に慣れていない場合は、基本的に、TCP接続を開始する通常のプロセスであるTCP SYNパケットの送信が含まれます。その後、攻撃者はSYN-ACKパケットの受信を期待して待機します。これにより、ターゲットが指定されたポートでリッスンしていることが確認されます。このプロセスの詳細については、ウィキペディアをご覧ください。

4. SYN-ACKで応答するターゲットはすべて、潜在的な被害者のリストに追加されます。

5. みらいちゃんは、ある種の重み付けシステムを使って半ランダムに試すパスワードを選び、それを使って接続を試みます。

6. みらいちゃんは、接続が成功したかどうかを確認するために監視します

7. 接続がタイムアウトするか、何かがうまくいかない場合、Miraiは最大10回まで再試行します。

8. これがすべて成功した場合は、頑張ってください。デバイスは再起動するまで感染しています。

つまり、要約すると、あなたの質問に答えるために、ユーザー名とパスワードを変更すると、はい、公的に知られているMiraiのバージョンは無効になります。ただし、Miraiのコピーを変更した人は、追加の攻撃ベクトルを追加できた可能性がありますが、これを同じマルウェアタイプとして分類することはもうできません。