Posso proteggere il mio router da un Mirai Worm e come faccio a sapere se sono vulnerabile?

Naviga le tue risposte
11

Oggi questo articolo è stato pubblicato dal BBC: i router Talk Talk e Post Office colpiti dall'attacco informatico . Dichiara:

It involves the use of a modified form of the Mirai worm - a type of malware that is spread via hijacked computers, which causes damage to equipment powered by the Linux operating system.

Leggendo wikipedia sul Mirai si afferma che funziona come segue:

Mirai then identifies vulnerable IoT devices using a table of more than 60 common factory default usernames and passwords, and logs into them to infect them with the Mirai malware. Infected devices will continue to function normally, except for occasional sluggishness, and an increased use of bandwidth. A device remains infected until it is rebooted, which may involve simply turning the device off and after a short wait turning it back on. After a reboot, unless the login password is changed immediately, the device will be reinfected within minutes.

Quindi la mia domanda è Posso proteggere il mio router dal Mirai Worm e Come potrei sapere se il mio router fosse vulnerabile?

    
posta user1 01.12.2016 - 17:32
fonte

4 risposte

16

Come dice la tua citazione; cambia la password. Sarebbe molto più difficile risolvere il problema se Mirai usasse vulnerabilità "reali" (bug del software, ad esempio corruzione della memoria). Quindi dovresti sperare che ci sia un aggiornamento disponibile e applicarlo. Ma sembra che stia solo sfruttando le persone che lasciano i loro dispositivi con il "changeme" proverbiale come password.

    
risposta data 01.12.2016 - 17:39
fonte
3

Questo può essere utile, sebbene sia un po 'specifico per netgear (DG834, ecc.): link

Alcune informazioni raccolte da DEFCON 2014, dopo che il mio netgear è stato violato qualche settimana fa.

Il problema non è la password di per sé, come la backdoor implementata per telnet. Non tutte le implementazioni usano nvram per consentire quella particolare correzione, ma poi non tutte le implementazioni hanno una stupida backdoor. Tranne naturalmente che i router forniti dall'ISP sono notoriamente vulnerabili a qualsiasi cosa stia andando e talvolta impediscono all'utente di correggere la situazione. Ottieni una nuova scatola.

Per l'amor del cielo, almeno modifica la password predefinita! (Good Grief)

Il mio primo passo sarebbe (esportare le impostazioni e) l'aggiornamento al firmware più recente. Oppure considera uno dei tanti firmware open source come dd-wrt, openwrt, pfsense ecc ecc, che sono basati su Linux o BSD.

Cambia la password almeno, ma cambia anche l'account "admin". Sul vecchio netgear, non c'è una GUI per questo, ma puoi modificare il nome dell'account amministratore nelle impostazioni esportate prima di reimportare, o addirittura usare telnet via busybox (ma attenzione ai caratteri speciali come >).

Alcune persone consigliano di cambiare l'IP predefinito 192.168.0.1 in qualcos'altro; chiaramente questo significa che devi ricollegarti alla tua casella principale impostando anche il nuovo IP del router.

Disattiva anche il UPnP del router, che inibisce qualsiasi attacco di rebinding DNS, e per essere più sicuro, limita gli indirizzi ISP all'intervallo di blocchi utilizzato dall'ISP, usando ipconfig (nel router). Puoi anche limitare le porte a quelle che sai di aver bisogno, ma diventa più oneroso da mantenere, e sarà sconcertante se qualcosa non funziona perché ha bisogno di una porta che non hai permesso.

Aiuta a rispondere ai ping esterni con una "caduta" come azione predefinita, quindi sei un po 'più furtivo (il dial-in diventa più complicato).

Infine, prova con qualcosa come link

Spero che questo aiuti.

    
risposta data 02.12.2016 - 03:25
fonte
1

Non ci sono servizi rivolti verso l'esterno (WAN) in esecuzione sul router. Ports può proteggere il tuo IP con un portscanner online o farlo da solo con zenmap. i flag sS -Pn -oN scan.txt -pT:1-65535 -vv T4 -n yourIP ti mostreranno quali servizi sono aperti. Controlla eventuali servizi aperti con -sV , o usa il controllo. Generalmente disabilita IPv6 e UPnP a meno che tu non usi queste cose. Se è necessario, installare OpenWRT o DDWRT sul firmware predefinito che è abbastanza affidabile e sicuro. Il malware IIRC Morai attacca tipi specifici di dispositivi, non le principali marche di router SoHo come ZyXEL ecc.

Puoi verificare le credenziali di default su ssh, telnet ecc. con hydra e una buona lista di parole del router (usa Google per trovarne una).

    
risposta data 01.12.2016 - 21:31
fonte
1

Il Mirai Worm si fa strada all'interno di un sistema tramite la bruteforcing di numeri di porta specifici che stanno eseguendo telnet. L'attacco bruteforce funziona cercando le credenziali di default comuni sulla porta telnet. Ecco una foto del dizionario utente / password di Mirai:

Perprevenirequestotipodiattaccocisonoalcunecosechepuoifare.

  1. Assicuraticheiltuoroutersiaaggiornatoconilfirmwareeilsoftwarepiùrecenti.
  2. Cambialapasswordpredefinitadeltuorouterinqualcosadistrongeunico.Assicuratidievitarelepasswordinquestoelenco(oqualsiasialtrovocabolochetroviperquellamateria).
  3. Controllasehaiunservertelnet,SSHoqualsiasialtroserviziodiaccessoremotoinesecuzione.Perverificareciò,controllareilpannellodiamministrazionedelrouteroutilizzareunoscannerdiportecomeNmap.Sel'accessoremotoèabilitato,potrestivolerdisabilitarequesto,asecondadellaconfigurazione.

SebbeneMiraiWOrmabbiasceltosolodispositivicheeseguonoservertelnet,èimportantericordarechevogliamoproteggeredaltipodiattacco,nondaunattaccospecifico.Pertanto,dovrestiinvestigarealtreportesultuorouter(comeSSH)comemenzionatoinprecedenzaperprevenirealtriattacchio"sapori" diversi dei futuri Mirai Worms.

Un case study che fornisce ulteriori informazioni sul Mirai Worm può essere trovato qui , se sei interessato.

    
risposta data 08.12.2016 - 10:05
fonte

Leggi altre domande sui tag

Le macchine virtuali devono essere riparate per fusione e spettro? Quali impostazioni del firewall su un Macintosh sono le più restrittive, pur consentendo l'uso occasionale di Internet?