IoT 장치가 Mirai 웜에 감염되었는지 어떻게 확인할 수 있습니까?


27

최근에 보안이 취약한 라우터, IoT 장치 및 기타 인터넷 연결 기기에 안전하지 않은 암호로 감염되는 Mirai 웜 에 대해 들었습니다 . Mirai는 역사상 가장 큰 DDoS 공격 의 원인으로 의심됩니다 .

Dyn은이 공격이“100,000 개의 악의적 인 엔드 포인트”와 관련이 있다고 추정했으며, 여전히 공격을 조사하고있는 회사는 1.2Tbps의 놀라운 공격 강도에 대한보고가 있다고 밝혔다.

질문 불량 IoT 장치 활동에 대해 네트워크를 모니터링 할 수 있습니까? IoT 네트워크에서 맬웨어를 발견하는 데 유용한 유용한 팁을 제공하지만 장치 맬웨어에 감염 되었는지 어떻게 확인할 수 있습니까? Incapsula는 Mirai에 취약한 장치를 검색 할 수있는 실행 도구제공 하지만 네트워크의 모든 장치가 감염되었는지 (또는 실시간 보호 기능을 제공하는지) 자발적으로 검사하여 계속 실행하지 않아도되는 방법이 있습니다. 내가 기억할 때 도구?

답변:


17

감염된 장치 감지

이 장치로 전환 된 봇넷은 가끔 느려진 대역폭과는 별개로 의심없는 소유자에게 올바르게 작동하며 봇넷 동작은 무한히 눈에 띄지 않을 수 있습니다.

Webroot.com : Mirai IoT 악성 코드 소스 코드 출시

이것은 장치의 동작이 어떻게 변하는 지 알려줍니다. 때때로 느린 대역폭 은 안타깝게도 감시하기에는 매우 나쁜 지표입니다. Mirai가 수행하는 다른 작업은 모니터링 도구가 포트를 감지하지 않도록 포트를 차단하는 것입니다.

이 두 기능을 찾을 수 있습니다. 첫 번째는 매우 정교한 네트워크 트래픽 모니터링 솔루션과 네트워크에 어떤 종류의 트래픽이 필요한지에 대한 복잡한 지식이 필요합니다. IoT 장치가 WiFi 연결을 통해 통신하지 않고 3G 또는 기타 이동 통신 표준을 통해 통신하는 경우 모니터링 할 수 없기 때문에 운이 좋지 않습니다. 적어도 쉽지는 않지만 대부분의 관할 지역에서는 합법적이지 않습니다.

두 번째 Mirai 기능은 Incapsula가 스캔하는 것입니다. 포트가 닫히면 Mirai 감염 이있을 수 있습니다 . 재부팅하면 Mirai의 클러치에서 장치가 일시적으로 해제되므로 재부팅 후 시간의 포트 가용성 변경은 장치가 손상되었다는 신호로 간주 될 수 있습니다.

Incapsula는 확실성을 제공하지는 않지만 대상이 될 수있는 장치와 감염되었을 수있는 장치에 대한 정보 만 제공한다는 점을 명심하십시오 . 그렇기 때문에 Mirai가 강력한 공격을 할 수 있다는 사실을 아는 것이 중요합니다. 작은 범위에서 탁월한 적은 아니며 감염을 예방하기도 쉽습니다.

다음 두 섹션에서는 장치를 처음에 보호하거나 직감적으로 장치를 보호하는 것과 비교하여 감지가 너무 많은 노력을 기울이고 있음을 보여줍니다.

기기 복구

그러나 Mirai는 봇넷의 엔드 포인트 역할을하며 웜은 IoT 장치의 영구 메모리를 변경하지 않습니다. 즉, 펌웨어가 감염되지 않았습니다. 이것이 재부팅과 즉각적인 암호 변경으로 장치를 다시 제어 할 수 있는 이유 입니다.

감염된 시스템은 재부팅하여 치료할 수 있지만 이러한 장치 검색은 일정한 속도로 수행되므로 재부팅 후 몇 분 안에 다시 감염 될 수 있습니다. 즉, 사용자는 재부팅 후 즉시 기본 비밀번호를 변경하거나 펌웨어를 재설정하고 로컬로 비밀번호를 변경할 수있을 때까지 장치가 인터넷에 액세스하지 못하게해야합니다.

Webroot.com : Mirai IoT 악성 코드 소스 코드 출시

처음에는 타협되지 않도록 방지

Mirai는 장치를 해킹하지 않습니다!

Mirai는 지속적으로 인터넷에서 IoT 장치를 검색하고 공장 기본 또는 하드 코딩 된 사용자 이름 및 비밀번호를 사용하여 IoT 장치에 로그인합니다.

Webroot.com : Mirai IoT 악성 코드 소스 코드 출시

Mirai는 공장 기본 로그인을 사용하여 장치를 손상시킵니다. IoT 장치에 인터넷에 처음 연결하기 전에 비밀번호를 변경하면 Mirai 프리 존에 거주하게됩니다.

기기 비밀번호를 변경할 수없고 잠재적 인 Mirai 대상인 경우 경쟁 업체로 전환 해보십시오.


6

네트워크에 취약한 장치가있는 경우 장치가 손상되었다고 가정해야합니다. 정의에 따르면 로그인 자격 증명은 공개이므로 펌웨어가 변조되었다고 가정해야합니다. 명령 제어 서버와의 통신 또는 악의적 인 활동을 관찰하기 위해 기다릴 필요가 없습니다.

장치를 지금 청소하고 모든 새 장치에 새 암호를 지정하고 설치시 스캔하십시오.

어쩌면 하위 텍스트는 기존 장치에서 새로 발견 된 원격 액세스 취약점을 검색하는 방법 일지 모르지만 구체적으로 묻는 질문은 읽지 못합니다.


6

자율 솔루션을 검색하는 대신 Incapsula 도구를 자동화 할 수 있습니다. 불행히도 웹 페이지 버튼을 통해 사용할 수있는 서비스이므로 해당 페이지를 열고 자동으로 버튼을 클릭해야합니다.

페이지 소스에서 버튼 자체에 대한 정보를 얻을 수 있습니다.

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

따라서 스크립트를 사용하면 사이트 를 열고 ID로 버튼을 찾아 클릭하여 스캔을 실행하는 주기적으로 실행되는 작업을 만들 수 있습니다 .

나는 이것을하는 정확한 방법을 모르지만 아마도 Selenium 또는 Mechanize Python 패키지를 사용할 수 있습니다.


3

Mirai는 임베디드 리눅스를 공격합니다. 먼저 IoT 장치에 대한 명령 줄 액세스 권한을 얻어야합니다. 그런 다음 읽기 전용 파일 시스템의 체크섬을 확인하고 깨끗한 펌웨어 버전과 비교할 수 있습니다. 때때로 회사는 원래 펌웨어를 온라인으로 가지고 있거나 사본을 위해 연락 할 수 있습니다. 펌웨어가 일반적으로 어떻게 포장되는지 이해하려면 Binwalk 프로그램을 살펴 보는 것이 좋습니다. OpenWrt에는 플래시 메모리에 대한 유용한 문서가 있습니다. 펌웨어를 IoT 장치로 플래시 / 리 플래시하면 펌웨어 섹션 (커널, 읽기 전용 루트 파일 시스템, 쓰기 가능한 구성 섹션)이 IoT 플래시 칩의 MTD 파티션에 저장됩니다. 이러한 파티션을 복사 / 다운로드 (/ dev / mtdblock1은 Linux 예)하고 체크섬을 통해 원본 펌웨어와 비교할 수 있습니다. 루트킷을 두려워하고 명령 행을 신뢰하지 않으면


1
명령 행 액세스를 통한 펌웨어 확인은 의미가 없습니다. 장치가 손상되면 명령 줄에 표시되는 내용을 신뢰할 수 없습니다. 도움말을 읽으 십시오! 내 PC가 바이러스에 감염되었습니다! 지금 무엇을해야합니까? — PC 용으로 작성되었지만 IoT 장치를 포함한 모든 컴퓨터에 적용됩니다.
Gilles 'SO- 악마 중지'
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.