Cómo saber si mis dispositivos conectados a la red se infectaron y se convirtieron en un Mirai Bot

No escuches a estas personas, no saben de qué están hablando. Si cree que su computadora se ha convertido en parte de una botnet, hay síntomas que su computadora exhibirá que son anormales. Por ejemplo, funciona muy lentamente y los ventiladores funcionan a la velocidad máxima, pero su computadora está inactiva. Esto significa que hay algo ejecutándose en segundo plano que está utilizando muchos de los recursos de su computadora.

Otro síntoma podría ser que se envían mensajes salientes desde su computadora por correo electrónico, redes sociales, mensajería instantánea, lo que sea. Obviamente no estás haciendo eso sin embargo.

Otra es que su computadora no descargará sus actualizaciones para antivirus o actualizaciones acumulativas de seguridad / sistema operativo.

Creo que el sistema más grande que debería ver es que el ancho de banda de su red se ha reducido a casi nada. Esto se debe a que Mirai se diseñó específicamente para ataques DDoS y consumiría todo el ancho de banda de la red para sobrecargar el IoT (Internet de las cosas).

También hay otros síntomas, pero son sinónimos de virus comunes que puedes encontrar en tu computadora. Sin embargo, no debería tener nada de qué preocuparse siempre y cuando mantenga actualizado su antivirus y su computadora porque Mirai era un programa de código abierto, lanzado públicamente a las masas.

Esto significa que debido a que es de código abierto, es muy fácil para los profesionales de seguridad cibernética analizar qué hace exactamente el código (porque su composición de programación está literalmente disponible para cualquier persona), y así pueden agregarlo a su antivirus y crear medidas de seguridad para encontrar y deshacerse de Mirai.

Sí, fue el ataque DDoS más grande que hemos visto en mucho tiempo, pero su poder destructivo se basó únicamente en su capacidad de sigilo para adquirir una botnet masiva sin ser detectada. Ahora todo el mundo lo sabe, por lo que el programa en sí (Mirai) ya no funciona.

La verdadera preocupación es sobre el próximo programa que se desarrollará.

Otra cosa que ayudará a calmar sus preocupaciones, Mirai creó una botnet al tener una base de datos masiva de hardware y sus contraseñas / nombres de usuario predeterminados. Solicitaría a muchos dispositivos que vieran si los valores predeterminados todavía se usaban, y si lo fueran, Mirai tenía acceso a ese dispositivo (agregando así otro dispositivo a la botnet). Si no, Mirai simplemente seguiría adelante. Mientras sus dispositivos no estén usando sus contraseñas predeterminadas, usted no se verá afectado al 100%.

Entonces, no te preocupes! Mirai era un programa simple, pero alguien tenía una mente extremadamente innovadora con una gran visión para algo masivo.

Utilice solo wireshark o tcpdump, etc. si puede limitar el tráfico monitoreado solo a uno hacia / desde sus dispositivos IoT, de lo contrario, se sentirá abrumado fácilmente. También ahora es una buena oportunidad para revisar cómo están configurados, si requieren acceso a Internet, si ha deshabilitado UPnP, si hay un firewall entre el dispositivo e Internet. etc.

Además de si está en una red más grande, asegúrese de que su solución SIEM esté configurada correctamente para detectar e informar este tipo de cambio en el comportamiento. Realmente puedo continuar por un tiempo sobre esto, pero me detendré aquí.

¡Buena suerte!

Mirai Bot infecta los dispositivos IoT a través de nombres de usuario y contraseñas predeterminados. Es posible limpiar un sistema IoT infectado por ‘Mirai’, pero la botnet escanea los sistemas con tanta frecuencia que existe una alta probabilidad de recurrencia. Puede destruir el código malicioso reiniciando la computadora, pero los expertos advierten que los dispositivos IoT vulnerables pueden volver a infectarse en minutos. Estas son malas noticias para la ciberseguridad, ya que el mercado de dispositivos IoT se calienta a medida que las personas compran los sistemas inteligentes y automatizados.

Si los dispositivos conectados a la red tienen agujeros de seguridad que el fabricante no ha parcheado, no puede asegurarlo por completo. Mediante la instalación de actualizaciones de firmware, deshabilite el acceso remoto, cambie la contraseña (coloque una contraseña alfanumérica segura con un carácter especial) y apague el UPnP.

Gracias
Carl Marx
thenortonsetup

Los piratas informáticos “Mirai” dieron este nombre como “El futuro” de los dispositivos IOT. Que contiene cámaras, dvrs y enrutadores en su mayoría.

Puede detener el bot Mirai cerrando todos los puertos de sus dispositivos IOT y cambiar las contraseñas a algunas letras alfanuméricas aleatorias fuertes.

Si desea que sus dispositivos estén seguros, puede esperar un mes. El enrutador “Almond 3” proporcionará una función para detectar vulnerabilidades en sus dispositivos de red.

Si tiene una de las cámaras de red que formaban parte de Mirai, tiene una contraseña de root cableada (xc3511) que no puede cambiar. Supongo que puede iniciar sesión con telnet y buscar el código descargado. Es más fácil con las computadoras Linux normales con una interfaz de comando completa: busque procesos inesperados y conexiones de red abiertas.

Instalaría Wireshark en su conmutador o puerta de enlace local y buscaría indicaciones de comando y control del tráfico que sale de su red desde las IP de su dispositivo en particular. Es posible que tenga que monitorear durante un período más largo de días o semanas para ver cualquier cosa, pero debería ser bastante sencillo detectar el tráfico inusual proveniente de esos dispositivos.