यदि मेरे IoT उपकरण मिराई कीड़ा से संक्रमित हैं, तो मैं कैसे जांच कर सकता हूं?

27

मैंने हाल ही में मिराई कीड़ा के बारे में सुना है , जो असुरक्षित रूटर्स, IoT डिवाइस और अन्य इंटरनेट से जुड़े उपकरणों को असुरक्षित पासवर्ड से संक्रमित करता है। मिराई को इतिहास के कुछ सबसे बड़े DDoS हमलों का कारण माना जाता है :

डीएन ने अनुमान लगाया कि हमले में "100,000 दुर्भावनापूर्ण समापन बिंदु" शामिल थे, और कंपनी, जो अभी भी हमले की जांच कर रही है, ने कहा कि 1.2Tbps की एक असाधारण हमले की ताकत की रिपोर्ट आई थी।

प्रश्न क्या मैं दुष्ट IoT डिवाइस गतिविधि के लिए अपने नेटवर्क की निगरानी कर सकता हूं? मेरे IoT नेटवर्क पर मैलवेयर को स्पॉट करने के लिए कुछ उपयोगी सामान्य टिप्स प्रदान करता है, लेकिन अगर मेरे उपकरण मैलवेयर से संक्रमित हैं तो मैं कैसे जांच सकता हूं ? इनकैप्सुला चलाने के लिए एक उपकरण प्रदान करता है जो मिराई के लिए संवेदनशील उपकरणों को स्कैन कर सकता है, लेकिन क्या स्वायत्त रूप से जांचने का एक तरीका है कि क्या मेरे नेटवर्क पर कोई भी उपकरण संक्रमित हैं (या वास्तविक समय सुरक्षा प्रदान करते हैं) ताकि मुझे चालू नहीं रखना पड़े उपकरण जब मुझे याद है?

security networking mirai

— ऑरोरा 0001
स्रोत

17

संक्रमित डिवाइस का पता लगाना

ये उपकरण-आधारित-बॉटनेट अनिश्चित मालिक के लिए अभी भी सही ढंग से काम करेंगे, इसके अलावा कभी-कभी सुस्त बैंडविड्थ, और उनके बॉटनेट व्यवहार अनिश्चित काल तक नहीं चल सकते हैं।

Webroot.com: मिराई IoT मैलवेयर के लिए स्रोत कोड जारी किया गया

यह हमें बताता है कि डिवाइस अपने व्यवहार को कैसे बदलता है। समसामयिक सुस्त बैंडविड्थ दुर्भाग्य से देखने के लिए एक बहुत बुरा संकेतक है। मिराई दूसरी बात यह है कि इसका पता लगाने के लिए निगरानी उपकरणों से बचने के लिए बंदरगाहों को अवरुद्ध करना है।

इन दो सुविधाओं के लिए देखा जा सकता है। पहले एक बहुत ही परिष्कृत नेटवर्क ट्रैफिक मॉनिटरिंग सॉल्यूशन की आवश्यकता होती है और आप अपने नेटवर्क में किस तरह के ट्रैफ़िक की अपेक्षा करते हैं, इस बारे में गहन ज्ञान होना चाहिए। यदि आपका IoT डिवाइस वाईफाई कनेक्शन के माध्यम से संवाद नहीं करता है, लेकिन 3 जी या अन्य मोबाइल दूरसंचार मानकों पर आप बहुत अधिक भाग्य से बाहर हैं क्योंकि आप उन पर नजर नहीं रख सकते हैं। कम से कम आसानी से और अधिकांश न्यायालयों में कानूनी रूप से नहीं।

दूसरी मिराई की विशेषता है, इनकैप्सुला भी स्कैन करता है। यदि बंदरगाहों को बंद कर दिया जाता है तो एक संभावित मिराई संक्रमण होता है। चूंकि रिबूटिंग अस्थायी रूप से मिराई के उपकरण से डिवाइस को मुक्त कर देता है, इसलिए रिबूट के बाद पोर्ट उपलब्धता में बदलाव को उस समय के संकेत के रूप में लिया जा सकता है जब डिवाइस से समझौता किया गया हो।

ध्यान रखें, कि इनकैप्सुला निश्चितता प्रदान नहीं करता है, लेकिन केवल उन उपकरणों के बारे में आपकी जानकारी देता है जो संभव लक्ष्य और डिवाइस हैं जो संक्रमित हो सकते हैं । यही कारण है कि यह महसूस करना महत्वपूर्ण है कि मिराई हालांकि शक्तिशाली हमले कर सकती है, यह एक छोटे से दायरे में एक अपराजेय दुश्मन नहीं है, यह संक्रमण को रोकने के लिए भी आसान है।

अगले दो खंडों से पता चलेगा कि पहली बार किसी डिवाइस को सुरक्षित करने या अपने डिवाइस को कूबड़ पर सुरक्षित रखने की तुलना में पता लगाना बहुत अधिक प्रयास है।

अपने डिवाइस को फिर से देखना

हालांकि, मिरी एक बॉट नेट के लिए एक अंतिम बिंदु के रूप में कार्य करता है और कृमि IoT डिवाइस की लगातार मेमोरी को नहीं बदल रहा है। यानी फर्मवेयर संक्रमित नहीं है। यही कारण है कि एक रिबूट और एक तत्काल पासवर्ड परिवर्तन आपको अपने डिवाइस पर वापस नियंत्रण देता है।

संक्रमित सिस्टम को उन्हें रिबूट करके साफ किया जा सकता है, लेकिन चूंकि इन उपकरणों के लिए स्कैनिंग एक स्थिर दर पर होती है, इसलिए रिबूट के कुछ मिनटों के भीतर उन्हें पुन: स्थापित करना संभव है। इसका अर्थ है कि उपयोगकर्ताओं को रिबूट करने के तुरंत बाद डिफ़ॉल्ट पासवर्ड बदलना होगा, या डिवाइस को इंटरनेट तक पहुंचने से रोकना चाहिए जब तक कि वे फर्मवेयर को रीसेट नहीं कर सकते और पासवर्ड को स्थानीय रूप से बदल सकते हैं।

Webroot.com: मिराई IoT मैलवेयर के लिए स्रोत कोड जारी किया गया

पहले स्थान पर समझौता होने से रोकें

मिराई आपके उपकरणों को हैक नहीं करती है!

मिराई लगातार IoT उपकरणों के लिए इंटरनेट को स्कैन करती है और फ़ैक्टरी डिफ़ॉल्ट या हार्ड-कोडेड यूज़रनेम और पासवर्ड का उपयोग करके उनमें लॉग इन करती है।

Webroot.com: मिराई IoT मैलवेयर के लिए स्रोत कोड जारी किया गया

मिराई अपने उपकरणों से समझौता करने के लिए फ़ैक्टरी डिफ़ॉल्ट लॉगिन का उपयोग करती है। अपने IoT डिवाइस को पहली बार कोई इंटरनेट कनेक्शन देने से पहले पासवर्ड बदलें और आप मिराई मुक्त क्षेत्र में रहेंगे।

यदि आपका डिवाइस पासवर्ड नहीं बदला जा सकता है और यह एक संभावित मिराई लक्ष्य है जो प्रतियोगिता में स्विच करने पर विचार करता है।

— हेलमर
स्रोत

6

यदि आपके पास अपने नेटवर्क पर कोई भी असुरक्षित डिवाइस है, तो आपको यह मान लेना चाहिए कि वे समझौता कर रहे हैं। परिभाषा के अनुसार, लॉगिन क्रेडेंशियल सार्वजनिक हैं, और मेरा मानना है कि आपको यह मानने की आवश्यकता है कि फ़र्मवेयर से छेड़छाड़ की गई है। कमांड-कंट्रोल सर्वर या दुर्भावनापूर्ण गतिविधि के साथ संचार देखने के लिए प्रतीक्षा करने की आवश्यकता नहीं है।

डिवाइस को अब साफ करें, सुनिश्चित करें कि आप हर नए डिवाइस को एक नया पासवर्ड दें, और इसे इंस्टॉलेशन पर स्कैन करें।

हो सकता है कि सबटेक्स्ट, मौजूदा उपकरणों पर नए खोजे गए रिमोट-एक्सेस कमजोरियों के लिए स्कैन करने के लिए है, लेकिन मैं उस प्रश्न को विशेष रूप से नहीं पूछ रहा हूं।

— सीन होलीहेन
स्रोत

6

एक स्वायत्त समाधान की खोज करने के बजाय। आप Incapsula के टूल को स्वचालित करने का प्रयास कर सकते हैं। दुर्भाग्य से यह एक वेबपेज बटन के माध्यम से उपलब्ध सेवा है, इसलिए आपको उस पेज को खोलना होगा और स्वायत्तता से बटन पर क्लिक करना होगा।

पृष्ठ स्रोत से आप स्वयं बटन के बारे में जानकारी प्राप्त कर सकते हैं।

<div class="btn-toolbar">
  <a class="cta-green-button scan-btn" href="#" id="mirai-scanner-scan-btn" role="button" style="max-width: 288px;margin: 32px auto 4px;">Scan My Network Now</a>
</div>

तो शायद एक स्क्रिप्ट के साथ आप एक समय-समय पर चलने वाला कार्य बना सकते हैं जो साइट खोलता है, आईडी द्वारा बटन ढूंढता है और उस पर क्लिक करता है और एक स्कैन चलाता है।

मुझे ऐसा करने का सही तरीका नहीं पता है, लेकिन शायद सेलेनियम या मैकेनाइज पायथन पैकेज का उपयोग किया जा सकता है।

— बेंस कौलिक्स
स्रोत

3

मिराई अटैची पर हमला करती है। आपको सबसे पहले अपने IoT डिवाइस को कमांड लाइन एक्सेस की आवश्यकता होगी। उसके बाद आप रीड-ओनली फाइलसिस्टम के चेकसम की जांच कर सकते हैं, और उनकी तुलना फर्मवेयर वर्जन से कर सकते हैं। कभी-कभी कंपनियों के पास ऑनलाइन फ़र्मवेयर होता है, या आप कॉपी के लिए उनसे संपर्क कर सकते हैं। यदि आप यह समझना चाहते हैं कि फर्मवेयर आमतौर पर कैसे पैक किया जाता है, तो मेरा सुझाव है कि कार्यक्रम बिनवॉक पर ध्यान दें। OpenWrt में फ्लैश मेमोरी के बारे में अच्छा प्रलेखन है। जब आप IoT डिवाइस पर फर्मवेयर को फ्लैश / रीफ्लेश करते हैं, तो फर्मवेयर के तार (कर्नेल, केवल रूट फाइलसिस्टम, राइटेबल कॉन्फिगरेशन सेक्शन पढ़ें) को IoT की फ्लैश चिप पर MTD पार्टिशन में स्टोर किया जाता है। आप इन विभाजनों को कॉपी / डाउनलोड कर सकते हैं (/ dev / mtdblock1 linux उदाहरण हैं) और चेकसम के माध्यम से उन मूल फर्मवेयर की तुलना करें। यदि आपको रूटकिट का डर है और कमांड लाइन पर भरोसा नहीं है,

— GusGorman402
स्रोत

1

कमांड लाइन एक्सेस के माध्यम से फर्मवेयर की जाँच करना व्यर्थ है। एक बार डिवाइस से समझौता हो जाने के बाद, आप कमांड लाइन पर जो देखते हैं, उस पर भरोसा नहीं कर सकते। मदद पढ़ें ! मेरा घर पीसी एक वायरस से संक्रमित हो गया है! अब मैं क्या करू? - यह एक पीसी के बारे में लिखा है, लेकिन यह IoT डिवाइस सहित किसी भी कंप्यूटर पर लागू होता है।

— गिल्स एसओ- बुराई को रोकना '