¿Puedo proteger mi enrutador de un gusano Mirai y cómo puedo saber si soy vulnerable?

11

Hoy este artículo fue publicado por la BBC: Talk Talk and Post Office routers afectados por ciberataque . Establece:

  

Implica el uso de una forma modificada del gusano Mirai, un tipo de   malware que se propaga a través de computadoras secuestradas, lo que causa daños a   Equipo alimentado por el sistema operativo Linux.

Leyendo wikipedia en el gusano Mirai indica que funciona de la siguiente manera:

  

Mirai identifica los dispositivos vulnerables de IoT utilizando una tabla de más   más de 60 nombres de usuario y contraseñas predeterminados de fábrica e inicia sesión en   Para infectarlos con el malware Mirai. Infectado   Los dispositivos continuarán funcionando normalmente, excepto en ocasiones   lentitud, y un mayor uso de ancho de banda. Un dispositivo permanece   infectado hasta que se reinicie, lo que puede implicar simplemente girar el   Dispositivo apagado y después de una breve espera volver a encenderlo. Después de un reinicio,   a menos que la contraseña de inicio de sesión se cambie inmediatamente, el dispositivo será   reinfectado en cuestión de minutos.

Entonces, mi pregunta es ¿Puedo proteger mi enrutador del gusano Mirai y cómo sabría si mi enrutador era vulnerable?

    
pregunta user1 01.12.2016 - 17:32
fuente

4 respuestas

16

Como dice tu cita; cambiar la contraseña Sería mucho más difícil de arreglar si Mirai usara vulnerabilidades 'reales' (errores de software, es decir, corrupción de memoria). Entonces tendrías que esperar que haya una actualización disponible y aplicar eso. Pero parece que solo se está aprovechando de las personas que dejan sus dispositivos con el proverbial 'changeme' como contraseña.

    
respondido por el J.A.K. 01.12.2016 - 17:39
fuente
3

Esto puede ser útil, aunque es un poco específico para netgear (DG834, etc.): enlace

Alguna información obtenida de DEFCON 2014, después de que hackearon mi netgear hace unas semanas.

El problema no es la contraseña en sí misma, como la puerta trasera que se implementó para telnet. No todas las implementaciones usan nvram para permitir esa solución en particular, pero entonces no todas las implementaciones tienen una puerta trasera estúpida. Excepto, por supuesto, que los enrutadores provistos por ISP son notoriamente vulnerables a cualquier cosa que esté pasando y, en ocasiones, impiden que el usuario corrija la situación. Consigue una nueva caja.

¡Por el amor de Dios, al menos cambie la contraseña predeterminada! (Buena pena)

Mi primer paso sería (exportar la configuración y) actualizar al último firmware. O bien, considere uno de los muchos firmware de código abierto como dd-wrt, openwrt, pfsense, etc., que están basados en Linux o BSD.

Cambie la contraseña como mínimo, pero cambie también la cuenta "admin". En el antiguo netgear, no hay una GUI para esto, pero puede editar el nombre de la cuenta de administrador en la configuración exportada antes de volver a importar, o incluso usar telnet a través de busybox (pero tenga cuidado con caracteres especiales como >).

Algunas personas recomiendan cambiar la IP predeterminada 192.168.0.1 a otra cosa; claramente, esto significa que también debe volver a conectarse a su caja principal configurando la nueva IP del enrutador allí.

También apague el UPnP del enrutador, que inhibe cualquier ataque de reencuadernación de DNS, y para estar más seguro, restrinja las direcciones del ISP al rango de bloque utilizado por el ISP, usando ipconfig (en el enrutador). También puede restringir los puertos a los que sabe que va a necesitar, pero su mantenimiento es más oneroso y le resultará desconcertante si algo no funciona, ya que necesita un puerto que usted no ha permitido.

Ayuda a responder a los pings externos con una "caída" como acción predeterminada, por lo que eres un poco más sigiloso (la marcación se vuelve más complicada).

Finalmente, pruebe con algo como enlace

Espero que eso ayude.

    
respondido por el Will LaC 02.12.2016 - 03:25
fuente
1

No hay ningún servicio orientado hacia el exterior (WAN) que se ejecute en su enrutador. Portscan su propia IP con un explorador de puertos en línea, o hágalo usted mismo con zenmap. Las banderas sS -Pn -oN scan.txt -pT:1-65535 -vv T4 -n yourIP le mostrarán qué servicios están abiertos. Verifique cualquier servicio abierto con -sV , o use amap. Generalmente deshabilita IPv6 y UPnP a menos que uses esas cosas. Si lo necesita, instale OpenWRT o DDWRT sobre el firmware predeterminado, que es bastante confiable y seguro. El malware IIRC Morai ataca tipos específicos de dispositivos, no marcas importantes de enrutadores SoHo como ZyXEL, etc.

Puede verificar las credenciales predeterminadas en ssh, telnet, etc. con hydra y una buena lista de palabras de enrutador (use Google para encontrar una).

    
respondido por el user400344 01.12.2016 - 21:31
fuente
1

El gusano Mirai se abre camino en un sistema mediante el uso de números brutos de puertos específicos que ejecutan telnet. El ataque de fuerza bruta funciona al buscar credenciales predeterminadas comunes en el puerto telnet. Aquí hay una foto del diccionario de nombre de usuario / contraseña de Mirai:

Paraevitarestetipodeataque,hayalgunascosasquepuedeshacer.

  1. Asegúresedequesuenrutadorestéactualizadoconelúltimofirmwareysoftware.
  2. Cambielacontraseñapredeterminadadesuenrutadoraalgofuerteyúnico.Asegúresedeevitarlascontraseñasenestalista(oencualquierotralistadepalabrasqueencuentre).
  3. Compruebesitieneunservidortelnet,SSHocualquierotroserviciodeaccesoremotoenejecución.Paraverificaresto,verifiqueelpaneldeadministracióndelenrutadorouseunescánerdepuertoscomoNmap.Sielaccesoremotoestáhabilitado,esposiblequedeseedeshabilitarlo,dependiendodesuconfiguración.

AunqueMiraiWOrmsoloestádirigidoadispositivosqueejecutanservidoresdetelnet,esimportanterecordarquequeremosprotegerlosdeltipodeataque,nodeunespecífico.Porlotanto,debeinvestigarotrospuertosensuenrutador(comoSSH)comosemencionóanteriormenteparaevitarotrosataquesodiferentes"sabores" de los futuros gusanos Mirai.

Puede encontrar un estudio de caso que proporciona más información sobre el gusano Mirai Aquí , si estás interesado.

    
respondido por el Gavin Youker 08.12.2016 - 10:05
fuente

Lea otras preguntas en las etiquetas