¿Qué pueden hacer las organizaciones para prevenir los ataques de la botnet Mirai?

¿Cómo las cosas “inocentes” se convierten en Thingbots?

Usemos la botnet Mirai, la que está detrás de los ataques mencionados anteriormente como un ejemplo de cómo funcionan las cosas. Actualmente compuesto por alrededor de 500,000 dispositivos IoT comprometidos (por ejemplo, cámaras de vigilancia, enrutadores y grabadoras de video digital [DVR]) en todo el mundo, Mirai está constantemente buscando y apuntando a dispositivos con credenciales administrativas predeterminadas comúnmente utilizadas. Mediante el uso de ataques de diccionario, se estima que estos dispositivos específicos pueden verse comprometidos o asumidos por Mirai en aproximadamente 10 minutos.

La raíz del problema son las malas prácticas de autenticación. Esas contraseñas predeterminadas están codificadas en el dispositivo durante el proceso de fabricación y, como indica el tamaño de Mirai, a menudo nunca se actualizan nuevamente, dejándolas listas para ser explotadas por Mirai o algún otro tipo de botnet.

Las mejores prácticas para que los fabricantes de dispositivos eviten las botnets

Echemos un vistazo a algunas de las mejores prácticas que los fabricantes deben tener en cuenta para ayudar a proteger sus dispositivos de convertirse en bots desde el principio.

Considere limitar las capacidades de los dispositivos: ¿necesitan acceso remoto?

¿Es necesario acceder a estos dispositivos y administrarlos de forma remota? ¿Se puede eliminar efectivamente la autenticación en el entorno del dispositivo? Eliminar esta capacidad cerraría el agujero que Mirai está utilizando actualmente para acceder y hacerse cargo de los dispositivos.

Si necesita acceso remoto, implemente una autenticación de dispositivo segura

Mirai aprovecha los peores aspectos de las contraseñas de dispositivos: las contraseñas predeterminadas rara vez se cambian y rara vez son únicas, a menudo se reutilizan en un lote de dispositivos. OWASP tiene una excelente guía básica sobre la política de contraseñas para los fabricantes de dispositivos IoT que podría ayudar a prevenir este tipo de ataque en el futuro, pero sugeriríamos mirar más allá de la contraseña solo al considerar métodos de autenticación fuertes.

Por ejemplo, PKI ofrece múltiples beneficios para una autenticación de dispositivo fuerte. Primero, la tecnología es muy difícil, si no técnicamente inviable para la falsificación. Usarlo como parte del proceso de autenticación evita los ataques de autenticación basados ​​en el diccionario, como los utilizados por Mirai.

PKI también le brinda la capacidad de utilizar credenciales de autenticación únicas para las entidades de autenticación (tanto del dispositivo como del servicio). En el momento de la construcción del dispositivo, es mejor incluir credenciales de autenticación de dispositivo únicas por dispositivo, en lugar de usar credenciales de autenticación compartidas o comunes para una variedad de dispositivos. Aún mejor es aprovechar los elementos de seguridad de hardware para proteger las claves privadas en los dispositivos y evitar que las credenciales sean robadas o migradas fuera de los dispositivos mismos.

Solución

Los profesionales de ciberseguridad deberían fortalecer las redes contra la posibilidad de un ataque DDoS. Para obtener más información sobre los ataques DDoS, consulte la Guía rápida de DDoS de la publicación de seguridad US-CERT y la Alerta US-CERT sobre los ataques de amplificación basados ​​en UDP.

Mitigación

Para eliminar el malware Mirai de un dispositivo IoT infectado, los usuarios y administradores deben realizar las siguientes acciones:

  • Desconecte el dispositivo de la red.
  • Mientras está desconectado de la red e Internet, reinicie. Debido a que el malware Mirai existe en la memoria dinámica, al reiniciar el dispositivo se borra el malware [11 (el enlace es externo)].
  • Asegúrese de que la contraseña para acceder al dispositivo haya cambiado de la contraseña predeterminada a una contraseña segura. Consulte Consejo de US-CERT Cómo elegir y proteger las contraseñas para obtener más información.
  • Debe volver a conectarse a la red solo después de reiniciar y cambiar la contraseña. Si se vuelve a conectar antes de cambiar la contraseña, el dispositivo podría reinfectarse rápidamente con el malware Mirai.

Pasos preventivos

Para evitar una infección de malware en un dispositivo IoT, los usuarios y administradores deben tomar las siguientes precauciones:

  • Asegúrese de que todas las contraseñas predeterminadas se cambien a contraseñas seguras. Los nombres de usuario y contraseñas predeterminados para la mayoría de los dispositivos se pueden encontrar fácilmente en Internet, lo que hace que los dispositivos con contraseñas predeterminadas sean extremadamente vulnerables.
  • Actualice los dispositivos IoT con parches de seguridad tan pronto como estén disponibles.
  • Deshabilite Universal Plug and Play (UPnP) en los enrutadores a menos que sea absolutamente necesario. [12 (el enlace es externo)]
  • Compre dispositivos IoT a compañías con reputación de proporcionar dispositivos seguros.
  • Los consumidores deben conocer las capacidades de los dispositivos y electrodomésticos instalados en sus hogares y negocios. Si un dispositivo viene con una contraseña predeterminada o una conexión Wi-Fi abierta, los consumidores deben cambiar la contraseña y solo permitirle operar en una red doméstica con un enrutador Wi-Fi seguro.
  • Comprenda las capacidades de cualquier dispositivo médico destinado al uso en el hogar. Si el dispositivo transmite datos o se puede operar de forma remota, tiene el potencial de infectarse.
  • Monitoree el puerto 2323 / TCP del Protocolo de Internet (IP) y el puerto 23 / TCP en busca de intentos de obtener control no autorizado sobre dispositivos IoT utilizando el protocolo de terminal de red (Telnet). [13 (el enlace es externo) (el enlace es externo)]
  • Busque tráfico sospechoso en el puerto 48101. Los dispositivos infectados a menudo intentan propagar malware utilizando el puerto 48101 para enviar resultados al actor de la amenaza.

Referencias

  • [1] KrebsOnSecurity: KrebsOnSecurity Hit With Record DDoS

Related Content

¿Qué especialidad es mejor para el trabajo de seguridad cibernética?

¿Cuáles son los mejores softwares de firewall gratuitos para computadora?

¿Qué software es el mejor para obtener virus, malware y spyware en una PC?

¿Cuáles son las mejores opciones de hardware y software para rastrear mi computadora portátil en caso de pérdida o robo?

¿Cuáles son algunas de las herramientas / softwares que utilizan las agencias de inteligencia para rastrear a los ciberdelincuentes?

Las organizaciones pueden prevenir los ataques de Mirai Botnet al contar con servicios de protección para monitorear regularmente sus redes en el contexto de la defensa contra ataques DDoS.

Mire esta demostración en vivo de HaltDos: protección contra la botnet Mirai: ataque DDoS.

Gracias.

Kanishk Tagade

More Interesting

Cómo crear una cuenta en PayPal, usarla adecuadamente y protegerla de ser pirateada o mal utilizada

¿Cuáles son algunas medidas básicas de seguridad?

Si los sistemas operativos mantuvieran el tamaño de la memoria de página menor que el tamaño del programa 'shell' más pequeño posible, ¿el sistema operativo sería más seguro contra ataques de desbordamiento de búfer?

¿Cuál se considera el algoritmo de cifrado más fuerte?

¿Con quién compartirías tus contraseñas?

Facebook ahora es HTTPS. ¿Es posible secuestrar la sesión?

Cómo saber si mi computadora Mac ha sido pirateada

¿Existe una aplicación que realmente detecte y elimine el spyware oculto? ¿Existe quizás un servicio en línea que realice esto?

¿Qué antivirus tiene la mayor base de datos?

¿Cómo ayuda a los no expertos en tecnología a evitar estafas y malware?

¿Cuál es la diferencia entre la seguridad de la red y la seguridad de la aplicación?

¿Cuál es el mejor antivirus para Windows 8?

Cómo eliminar virus de mi sitio de wordpress

¿Hay un arma cibernética que sea equivalente a una bomba nuclear? (Solo presiona un botón e Internet se dispara)

¿Por qué nadie podría robar mi contraseña todavía ya que se produce un millón de nuevos malware todos los días?