我最近一直在阅读Mirai,这是一种恶意软件,其来源已经透露,旨在感染IoT设备。它似乎对安全受到威胁的物联网设备构成了严重威胁。根据Wikipedia:


Mirai(日语为“未来”)是一种恶意软件,它将运行Linux的计算机系统转变为可远程控制的“机器人”,可以将其用作僵尸网络的一部分。大规模的网络攻击。它主要针对在线消费类设备,例如远程摄像机和家用路由器。 Mirai僵尸网络已用于一些最大和最具破坏性的分布式拒绝服务(DDoS)攻击中,包括2016年9月20日对计算机安全记者Brian Krebs网站的攻击,对法国网络托管商OVH的攻击以及2016年10月的攻击Dyn cyberattack。


这篇文章(以及我在网上阅读的其他文章)显示,Mirai通过使用互联网上使用数据库中出厂默认用户名和密码的设备插入互联网进行了攻击。那么,仅需在IoT设备上更改用户名和密码就足够了吗?

注意:我不是在问如何确定我的设备是否被感染:我是在问是否更改密码?足以预防感染。

#1 楼

Mirai的源代码已公开发布,并且Jerry Gamblin友好地创建了一个GitHub存储库,以便您可以轻松地查看代码以进行诸如此类的研究/学术用途。

我想您会得到剖析代码以找出Mirai如何找到目标,这是最权威的答案,所以我环顾了一下,发现的是:


有61种独特的用户名/密码组合可以对Mirai进行编程(这些编码是硬编码的)。
扫描程序仅在有限的一组子网中搜索以找到目标。它们是:127.0.0.0/8、0.0.0.0/8、3.0.0.0/8、15.0.0.0/7、56.0.0.0/8、10.0.0.0/8、192.168.0.0/16、172.16.0.0/14 ,100.64.0.0 / 10、169.254.0.0 / 16、198.18.0.0 / 15、224 ... * +,{6、7、11、21、22、26、28、29、30、33、55、214 ,215} .0.0.0 / 8。我将最后一组块归为一组,因为在代码的注释中所有这些块均标记为“国防部”。
Mirai执行了一个相当原始的SYN扫描,以尝试查找是否有任何端口打开。如果您不熟悉SYN扫描的工作原理,那么它们实际上涉及发送TCP SYN数据包,这是启动TCP连接的正常过程。然后,攻击者等待以希望接收到SYN-ACK数据包,该数据包将确认目标正在侦听指定的端口。您可以在Wikipedia上了解有关此过程的更多信息。
将任何使用SYN-ACK响应的目标添加到潜在受害者的列表中。
Mirai使用某种密码选择半随机尝试的密码。加权系统并尝试使用该系统进行连接。
Mirai然后监视以检查其连接是否成功
如果连接超时或出现问题,Mirai最多重试10次。
如果所有这些都成功,那么运气就不好了。您的设备现在被感染,直到重新启动!

因此,总而言之,要回答您的问题,是的,如果更改用户名和密码,将不会公开公开的Mirai版本。尽管您可能不再将其归类为同一恶意软件类型,但是修改其Mirai副本的任何人都可以添加其他攻击媒介。