Mirain toimintamallista:
“ Victim IoT devices are identified by “first entering a rapid scanning phase where it asynchronously and “statelessly” sent TCP SYN probes to pseudo-random IPv4 addresses...If an IoT device responds to the probe, the attack then enters into a brute-force login phase... “.
(koko lainaus ja lähde loppussa)
Oma modeemini on ollut ainakin syys-marraskuun aikana Mirain riivamana, jotain hämärää tuntuikin olevan yhteyksissä joskus, nopeus putosi 1/3 normaalista. Kyttäilin palomuurin lokeja silloin tällöin ainakin kesästä asti ja aina otin yleensä pätkän talteen.
mm. Elisan samoista osoitteista monia kuukausia kohdistuen mm. porttiin mm 23.
Huomasin tämän sattumalla opiskelun keskellä kun tutkiskelin sivustoa jossa on mahdollisuus suorittaa hakuja nettiä scannailevista tahoista, niin pomppasi tuttu ip silmille mikä oli tuona ajankohtana käytössäni. Varmistin vielä vanhoista lokitiedoista ja siellä se oli.
Opintojen aiheena oli sopivasti tietoturva. Tämä saattaa selittää neuroottisuuttani liittyen tietoturvaan eikä ole se ainakaan lieventynyt kurssin jälkeen. Lopussa linkki ja hakumalli.
Mirai muiden “fiksumpien” haittaohjelmien tavoin pyyhkäisee nopean scannin, ja ne osoitteet mitkä vastaavat tähän jotenkin, saavat sitten niskoilleen seuraavan vaiheen, bruteforce, salasana arvailua portteihin 23, 2323. ( Arris kaapelimodeemin lokissa joka kerta kun sitä käy katsomassa joku näistä porteista on kohteena).
Taitaa selittää otsikkona oleva lainaus Elisan laitteiden kohdalla sen, että jostain syystä elisan ip osoitteita kun scannaillaan, ainakin kaapeliyhteyksissä omalla kohdallani, niin portti 25 vastaa takaisin “closed”. Sen sijaan, että niinkuin kaikki yli 65000 muuta porttia, jättäisi vastaamatta Mirain pyyntöön ja näin pysyisi stealt modessa.
Joten Mirai inspiroituu riivaamaan osoitteen takana olevaa laitetta urakalla, ja taitaa tulla samaan aikaan monesta muustakin Mirain valtaamasta laitteesta.
Jos niitä tulee kaikkiin mahdollisiin osoitteisiin joissa portti 25 ilmoittaa tilansa, muun satunnaisen kohinan lisäksi, niin ei ainakaan paranna verkon ominaisuuksia, puhumattakaan asiakkaiden mahdollista ongelmista mitä tämä “toinen vaihe” saa aikaan. Eikä tietenkään, että Mirain_Botnet välillä on aktiivisena hyökätessään johonkin.
Käytä nyt sitten vaikka verkkopankkia luottavaisesti kun on tietoinen, että modeemia voi helposti hallita joku muu. Huolimatta siitä, että kaikki tieturvaa alentavat ominaisuudet laitteesta on karsittu pois, sekä sisäverkon PC:t lähinnä windows pohjaisissa, kaikki SSDP ja UPNP ym. estetty niissä.
Palomuurin hallinta on helppoa nykyään ilmaisella Malwarebytesin (ennen muistaakseni binisoft) firewall control sovelluksella.
Hommasin tästä epämukavasta kokemuksesta inspiroituneena kalliin frizboxin sen kummemmin perehtyneenä muuhun kun pakkauksen infoon. Jotain puutteita käyttöliittymässä on, esim. ei ole hahmottunut onko ollenkaan mahdollisuutta tarkkailla palomuurin lokitietoja.
Muuten hyvältä vaikuttava laite, saa esim. yhden portin taakse myös verkkolaitteen vierasverkkoon, josta ei ole pääsyä kotiverkkoon ja kellolla ajastettua milloin pääsee tai ei pääse. Netgem on lepotilassakin yhteydessä ulospäin joten saa olla siellä kellon ja suodattimen kontrollin alla.
Uudehko päivitys oli ladattavissa heti, ja vielä latasin beta-päivytyksen mutta en vielä asentanut sitä, sen mukana saa mm. WPA3 version wlan salauksen mikä on tervetullut ominaisuus.
Halutessa laitteessa saa myös pois kaikki etäkäyttö/konffaus ominaisuudet pois.
Myös tuo netgem digiboxi on aika paljas tuonne internettiin.
Alla olevalla haulla (shodan) voi löytää sattumalta oman digiboxinsa, ainakin jos ilmaantuu vaikka uusi haavoittuvuus niin ne ketkä sitä haluaa käyttää hyväkseen löytää nämä boxit alla olevalta sivustolta, josta vielä näkee mikä ohjelmisto versio on kenenkin boxissa.
Saattaa vaatia tarkempi haku rekisteröitymisen.
greynoise sivustolta löysin oman ip:n ja tagit minkä kaltaista toimintaa ja milloin ensimäinen ja viimeinen havainto on tehty.
alla olevalla haulla voi katsoa oman kaupunkinsa tilanteen suoraan laittamalla sen helsinki paikalle.
elisa oyj metadata.country:Finland metadata.city:helsinki classification:malicious
sama juttu shodan sivustolla. Netgem “http serverit” 8080
netgem+country:"FI"+city:"helsinki"
Mirain toiminta mallia :( lähde: https://en.wikipedia.org/wiki/Mirai_(malware))
“ -- Victim IoT devices are identified by “first entering a rapid scanning phase where it asynchronously and “statelessly” sent TCP SYN probes to pseudo-random IPv4 addresses, excluding those in a hard-coded IP blacklist, on Telnet TCP ports 23 and 2323”.[16] If an IoT device responds to the probe, the attack then enters into a brute-force login phase.
During this phase, the attacker tries to establish a Telnet connection using predetermined username and password pairs from a list of credentials. Most of these logins are default usernames and passwords from the IoT vendor. If the IoT device allows the Telnet access, the victim's IP, along with the successfully used credential is sent to a collection server.
There are hundreds of thousands of IoT devices which use default settings, making them vulnerable to infection. Once infected, the device will monitor a command and control server which indicates the target of an attack.[13] The reason for the use of the large number of IoT devices is to bypass some anti-DoS software which monitors the IP address of incoming requests and filters or sets up a block if it identifies an abnormal traffic pattern, for example, if too many requests come from a particular IP address. Other reasons include to be able to marshall more bandwidth than the perpetrator can assemble alone, and to avoid being traced.