Comment puis-je vérifier si mes appareils IoT sont infectés par le ver Mirai?

27

J'ai récemment entendu parler du ver Mirai , qui infecte les routeurs vulnérables, les appareils IoT et d'autres appareils connectés à Internet avec des mots de passe non sécurisés. Mirai est soupçonné d'être à l'origine de certaines des plus grandes attaques DDoS de l'histoire :

Dyn a estimé que l'attaque avait impliqué "100 000 points d'extrémité malveillants", et la société, qui enquête toujours sur l'attaque, a déclaré qu'il avait été fait état d'une force d'attaque extraordinaire de 1,2 Tbit / s.

La question Puis-je surveiller mon réseau pour l'activité des appareils IoT voyous? fournit des conseils génériques utiles pour repérer les logiciels malveillants sur mon réseau IoT, mais comment puis-je vérifier si mes appareils sont infectés par le logiciel malveillant? Incapsula fournit un outil à exécuter qui peut rechercher les périphériques vulnérables à Mirai, mais existe-t-il un moyen de vérifier de manière autonome si des périphériques sur mon réseau sont infectés (ou fournissent une protection en temps réel) afin que je ne doive pas continuer à exécuter le outil quand je me souviens?

security networking mirai Aurora0001
la source

Réponses:

17

Détection du périphérique infecté

Ces appareils transformés en botnet fonctionneront toujours correctement pour le propriétaire sans méfiance, en dehors de la bande passante lente occasionnelle, et leur comportement de botnet peut passer inaperçu indéfiniment.

Webroot.com: publication du code source de Mirai IoT Malware

Cela nous indique comment l'appareil change son comportement. Une bande passante lente occasionnelle est malheureusement un très mauvais indicateur à surveiller. L'autre chose que fait Mirai est de bloquer les ports pour éviter les outils de surveillance pour le détecter.

Ces deux caractéristiques peuvent être recherchées. Le premier a besoin d'une solution de surveillance du trafic réseau très sophistiquée et de connaissances complexes sur le type de trafic que vous attendez de votre réseau. Si votre appareil IoT ne communique pas via une connexion WiFi mais via la 3G ou d'autres normes de télécommunications mobiles, vous n'avez pas beaucoup de chance car vous ne pouvez pas les surveiller. Du moins pas facilement et dans la plupart des juridictions pas légalement.

La deuxième fonctionnalité de Mirai est la chose qu'Incapsula recherche également. Si les ports sont fermés il y a une possible infection Mirai. Étant donné que le redémarrage libère temporairement l'appareil des embrayages de Mirai, le changement de disponibilité du port dans le temps après un redémarrage peut être considéré comme un signe très probable que l'appareil a été compromis.

Gardez à l'esprit qu'Incapsula ne fournit pas de certitude mais donne uniquement vos informations sur les appareils qui sont des cibles possibles et les appareils qui pourraient avoir été infectés. C'est pourquoi il est important de réaliser que le Mirai, quelles que soient ses attaques puissantes, il n'est pas un ennemi imbattable sur une petite portée, il est même facile de prévenir les infections.

Les deux sections suivantes montreront que la détection représente beaucoup trop d'efforts par rapport à la sécurisation d'un appareil en premier lieu ou à la sécurisation de votre appareil sur une intuition.

Reprendre votre appareil

Cependant, Mirai agit comme un point de terminaison pour un réseau de robots et le ver ne modifie pas la mémoire persistante du périphérique IoT. C'est-à-dire que le firmware n'est pas infecté. C'est la raison pour laquelle un redémarrage et un changement de mot de passe immédiat vous redonnent le contrôle de votre appareil.

Les systèmes infectés peuvent être nettoyés en les redémarrant, mais comme la recherche de ces appareils se fait à un rythme constant, il est possible qu'ils soient réinfectés quelques minutes après un redémarrage. Cela signifie que les utilisateurs doivent changer le mot de passe par défaut immédiatement après le redémarrage, ou empêcher l'appareil d'accéder à Internet jusqu'à ce qu'ils puissent réinitialiser le firmware et changer le mot de passe localement.

Webroot.com: publication du code source de Mirai IoT Malware

Évitez d'être compromis en premier lieu

Mirai ne pirate pas vos appareils!

Mirai recherche en permanence des appareils IoT sur Internet et s'y connecte en utilisant les noms d'utilisateur et les mots de passe par défaut ou codés en dur.

Webroot.com: publication du code source de Mirai IoT Malware

Mirai utilise des connexions par défaut en usine pour compromettre vos appareils. Modifiez le mot de passe avant de donner à votre appareil IoT une connexion Internet pour la première fois et vous vivrez dans une zone libre de Mirai.

Si le mot de passe de votre appareil ne peut pas être modifié et qu'il s'agit d'une cible potentielle de Mirai, envisagez de passer à la compétition.

Helmar
la source
6

Si vous avez des appareils vulnérables sur votre réseau, vous devez supposer qu'ils sont compromis. Par définition, les informations de connexion sont publiques et je pense que vous devez supposer que le micrologiciel a été falsifié. Il n'est pas nécessaire d'attendre pour observer la communication avec le serveur de contrôle-commande ou une activité malveillante.

Nettoyez l'appareil maintenant, assurez-vous de donner à chaque nouvel appareil un nouveau mot de passe et scannez-le lors de l'installation.

Peut-être que le sous-texte est de savoir comment rechercher les vulnérabilités d'accès à distance récemment découvertes sur les appareils existants, mais je ne lis pas la question comme la posant spécifiquement.

Sean Houlihane
la source
6

Au lieu de chercher une solution autonome. Vous pouvez essayer d'automatiser l'outil d'Incapsula. Malheureusement, il s'agit d'un service disponible via un bouton de page Web, vous devez donc ouvrir cette page et cliquer sur le bouton de manière autonome.

Depuis la page source, vous pouvez obtenir des informations sur le bouton lui-même.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

Donc, peut-être qu'avec un script, vous pourriez créer une tâche en cours d'exécution périodique qui ouvre le site , trouve le bouton par l'ID et clique dessus et exécute une analyse.

Je ne connais pas la manière exacte de le faire, mais peut-être que le package Selenium ou Mechanize Python peut être utilisé.

Bence Kaulics
la source
3

Mirai attaque Linux embarqué. Vous devez d'abord obtenir un accès en ligne de commande à votre appareil IoT. Après cela, vous pouvez vérifier les sommes de contrôle du système de fichiers en lecture seule et les comparer pour nettoyer les versions du firmware. Parfois, les entreprises ont le firmware d'origine en ligne, ou vous pouvez les contacter pour en obtenir une copie. Si vous voulez comprendre comment le firmware est généralement empaqueté, je vous suggère de regarder dans le programme Binwalk. OpenWrt a une bonne documentation sur la mémoire flash. Lorsque vous flashez / reflashez le firmware sur le périphérique IoT, des sections du firmware (noyau, système de fichiers racine en lecture seule, section de configuration accessible en écriture) sont stockées dans des partitions MTD sur la puce flash de l'IoT. Vous pouvez copier / télécharger ces partitions (/ dev / mtdblock1 est un exemple linux) et les comparer au firmware d'origine, via des sommes de contrôle. Si vous craignez un rootkit et ne faites pas confiance à la ligne de commande,

GusGorman402
la source
1
La vérification du firmware via l'accès en ligne de commande est inutile. Une fois que l'appareil est compromis, vous ne pouvez pas faire confiance à ce que vous voyez sur la ligne de commande. Lisez l' aide! Mon ordinateur personnel a été infecté par un virus! Qu'est-ce que je fais maintenant? - il est écrit sur un PC mais il s'applique à tout ordinateur, y compris les appareils IoT.
Gilles 'SO- arrête d'être méchant'