Alterar meu nome de usuário e senha bloqueará os ataques Mirai?

7

Li recentemente sobre o Mirai , malware cuja fonte foi revelada e criada para infectar dispositivos IoT. Parece ser uma séria ameaça aos dispositivos da Internet das Coisas comprometidos com a segurança. De acordo com a Wikipedia :

O Mirai (japonês para "o futuro") é um malware que transforma sistemas de computador com Linux em "bots" controlados remotamente, que podem ser usados ​​como parte de uma rede de bots em ataques de rede em larga escala. Destina-se principalmente a dispositivos de consumo on-line, como câmeras remotas e roteadores domésticos. A botnet Mirai foi usada em alguns dos maiores e mais disruptivos ataques de negação de serviço distribuída (DDoS), incluindo um ataque em 20 de setembro de 2016 no site do jornalista de segurança informática Brian Krebs, um ataque ao host francês OVH e ao outubro de 2016 Dyn ataque cibernético.

O artigo (e outros que li online) mostra que a Mirai faz o ataque roubando a Internet de dispositivos que usam nomes de usuário e senhas padrão de fábrica de um banco de dados. Então, basta alterar seu nome de usuário e senha em um dispositivo IoT? Isso protegerá o ataque de Mirai ou o Mirai tem outros métodos para fazê-lo?

Nota: Não estou perguntando como saber se meus dispositivos estão infectados: estou perguntando se a alteração da senha é adequada para evitar a infecção.

anonymous2
fonte

Respostas:

4

Código-fonte do Mirai foi lançado em público , e Jerry Gamblin gentilmente criado um repositório GitHub para que você possa facilmente olhar através do código de pesquisa / fins acadêmicos como este.

Eu acho que você obterá a resposta mais autorizada dissecando o código para descobrir como a Mirai encontra seus alvos, então dei uma olhada ao redor e aqui está o que encontrei:

  1. Existem 61 combinações únicas de nome de usuário / senha com as quais o Mirai está programado (elas são codificadas) .

  2. O scanner pesquisa apenas em um conjunto limitado de sub-redes para encontrar destinos . Estes são: 127.0.0.0/8, 0.0.0.0/8, 3.0.0.0/8, 15.0.0.0/7, 56.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/14 , 100.64.0.0/10, 169.254.0.0/16, 198.18.0.0/15, 224 .. . * +, {6, 7, 11, 21, 22, 26, 28, 29, 30, 33, 55, 214, 215} .0.0.0 / 8. Eu agrupei o último conjunto de blocos porque todos foram rotulados como "Departamento de Defesa" nos comentários do código.

  3. O Mirai executa uma varredura SYN bastante primitiva para tentar descobrir se alguma porta está aberta. Se você não estiver familiarizado com o funcionamento das varreduras SYN, elas envolvem essencialmente o envio de um pacote TCP SYN , que é o processo normal de iniciar uma conexão TCP. O atacante aguarda na esperança de receber um pacote SYN-ACK, o que confirmaria que o destino está escutando na porta especificada. Você pode ler mais sobre o processo na Wikipedia .

  4. Quaisquer alvos que respondem com um SYN-ACK são adicionados a uma lista de possíveis vítimas .

  5. Mirai seleciona uma senha para tentar semi-aleatoriamente , usando algum tipo de sistema de ponderação e tenta se conectar usando isso .

  6. Mirai monitora para verificar se sua conexão foi bem-sucedida

  7. Se a conexão atingir o tempo limite ou se algo der errado, o Mirai tentará no máximo 10 tentativas .

  8. Se tudo isso der certo, azar. Seu dispositivo está infectado até reiniciar!

Portanto, em resumo, para responder sua pergunta, sim, a versão do Mirai conhecida publicamente será derrotada se você alterar o nome de usuário e a senha . Qualquer um que modificou sua cópia do Mirai poderia ter adicionado vetores de ataque adicionais, embora você não possa mais classificá-lo como o mesmo tipo de malware.

Aurora0001
fonte