감염된 장치 감지
이 장치로 전환 된 봇넷은 가끔 느려진 대역폭과는 별개로 의심없는 소유자에게 올바르게 작동하며 봇넷 동작은 무한히 눈에 띄지 않을 수 있습니다.
Webroot.com : Mirai IoT 악성 코드 소스 코드 출시
이것은 장치의 동작이 어떻게 변하는 지 알려줍니다. 때때로 느린 대역폭 은 안타깝게도 감시하기에는 매우 나쁜 지표입니다. Mirai가 수행하는 다른 작업은 모니터링 도구가 포트를 감지하지 않도록 포트를 차단하는 것입니다.
이 두 기능을 찾을 수 있습니다. 첫 번째는 매우 정교한 네트워크 트래픽 모니터링 솔루션과 네트워크에 어떤 종류의 트래픽이 필요한지에 대한 복잡한 지식이 필요합니다. IoT 장치가 WiFi 연결을 통해 통신하지 않고 3G 또는 기타 이동 통신 표준을 통해 통신하는 경우 모니터링 할 수 없기 때문에 운이 좋지 않습니다. 적어도 쉽지는 않지만 대부분의 관할 지역에서는 합법적이지 않습니다.
두 번째 Mirai 기능은 Incapsula가 스캔하는 것입니다. 포트가 닫히면 Mirai 감염 이있을 수 있습니다 . 재부팅하면 Mirai의 클러치에서 장치가 일시적으로 해제되므로 재부팅 후 시간의 포트 가용성 변경은 장치가 손상되었다는 신호로 간주 될 수 있습니다.
Incapsula는 확실성을 제공하지는 않지만 대상이 될 수있는 장치와 감염되었을 수있는 장치에 대한 정보 만 제공한다는 점을 명심하십시오 . 그렇기 때문에 Mirai가 강력한 공격을 할 수 있다는 사실을 아는 것이 중요합니다. 작은 범위에서 탁월한 적은 아니며 감염을 예방하기도 쉽습니다.
다음 두 섹션에서는 장치를 처음에 보호하거나 직감적으로 장치를 보호하는 것과 비교하여 감지가 너무 많은 노력을 기울이고 있음을 보여줍니다.
기기 복구
그러나 Mirai는 봇넷의 엔드 포인트 역할을하며 웜은 IoT 장치의 영구 메모리를 변경하지 않습니다. 즉, 펌웨어가 감염되지 않았습니다. 이것이 재부팅과 즉각적인 암호 변경으로 장치를 다시 제어 할 수 있는 이유 입니다.
감염된 시스템은 재부팅하여 치료할 수 있지만 이러한 장치 검색은 일정한 속도로 수행되므로 재부팅 후 몇 분 안에 다시 감염 될 수 있습니다. 즉, 사용자는 재부팅 후 즉시 기본 비밀번호를 변경하거나 펌웨어를 재설정하고 로컬로 비밀번호를 변경할 수있을 때까지 장치가 인터넷에 액세스하지 못하게해야합니다.
Webroot.com : Mirai IoT 악성 코드 소스 코드 출시
처음에는 타협되지 않도록 방지
Mirai는 장치를 해킹하지 않습니다!
Mirai는 지속적으로 인터넷에서 IoT 장치를 검색하고 공장 기본 또는 하드 코딩 된 사용자 이름 및 비밀번호를 사용하여 IoT 장치에 로그인합니다.
Webroot.com : Mirai IoT 악성 코드 소스 코드 출시
Mirai는 공장 기본 로그인을 사용하여 장치를 손상시킵니다. IoT 장치에 인터넷에 처음 연결하기 전에 비밀번호를 변경하면 Mirai 프리 존에 거주하게됩니다.
기기 비밀번호를 변경할 수없고 잠재적 인 Mirai 대상인 경우 경쟁 업체로 전환 해보십시오.