绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认为对外发起DDOS攻击导致,攻击类型多样,包括TCP Flood、HTTP Flood、DNS Flood等。
一、事件背景
绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认为对外发起DDOS攻击导致,攻击类型多样,包括TCP Flood、HTTP Flood、DNS Flood等。通过对攻击源IP进行溯源,发现攻击来自普通用户终端设备,包括数字电视机顶盒及EOC终端设备,并涉及多家设备开发厂商。
二、准备工作
为判断网络是否受到IoT机顶盒恶意软件影响,且有针对性防护,绿盟科技提供检测及防护方案,下表为相关检测和防护工具。
| 边界防护类 | 绿盟网络入侵防护/检测系统(IPS/IDS) | 提供网络层的监测和防护 |
| 防御类 | 绿盟抗拒绝服务系统(ADS) | 提供抗DDoS攻击防护 |
| 检测类 | Wireshark | 通过流量分析,判断受影响设备。 |
| 情报类 | 绿盟威胁情报中心(NTI) | 通过威胁情报的IP信誉与资产安全深度多重关联,可随时洞悉公网资产的安全状况,通过情报驱动设备防御,及时阻断防御威胁,全方位智能保障客户资产安全。 |
| 分析类 | 绿盟攻击溯源平台(TAT) | 能够收集Netflow流量,并结合绿盟异常流量检测系统,分析DDoS攻击,溯源CC主机,并还原僵尸网络。
在机顶盒病毒处置过程中,能够基于Netflow流量,通过CC服务器快递判断受感染机顶盒的数量、网络位置及地理位置等。 |
针对IoT业务网络中存在的风险,可通过线上的威胁情报与攻击溯源、线下的入侵防护/检测设备及检测工具和抗DDoS攻击防护设备,做到事前风险排查及处置、事中防护及全程持续监测。
三、风险排查
3.1 线上排查
对于部署在公网上的设备,可借助线上服务来快速判断该设备是否存在风险。
3.1.1 基于威胁情报排查
对于一些高级可持续威胁,能够及时获取到相关的情报,及时启动应急响应机制,在应对和解决的过程中,威胁情报的获取及响应都体现了防御能力的建设程度。
通过对恶意软件分析,恶意软件会连接185.47.62.133地址。
基于云端的威胁情报中心(NTI)通过对流量的分析,能够有针对性的判别网络中是否存在被感染的主机或设备。
若检测出网络中存在被感染主机时,可按照应急处置部分,对感染设备排查和防护。
3.1.2 基于攻击溯源排查
绿盟攻击溯源平台自带流量查看功能,能够对CC主机控制的所有服务器进行查看,从而还原整个僵尸网络。
结合攻击溯源平台进行全网排查,通过使用攻击溯源【FLOW|综合溯源】模块, 在“目的IP”输入CC服务器IP185.47.62.133进行查询,针对该目标IP能快速挖掘出某个时间段的全网数据。
溯源平台能够快速完成某时间段与该CC服务器通信的流量趋势和统计信息:
自动计算TOPN流量情况:
展示被感染主机或设备的地理位置及网络位置:
同时通过原始Flow信息展示及导出,供机顶盒设备厂家及安全运维人员进一步分析校验。
3.2 线下排查
针对没有公网IP的设备,可通过线下人工排查的方式来判断网络中是否存在威胁。
3.2.1基于网络的排查
若IoT业务网络中存在被感染设备,则设备会向大量外网ip的23端口发送tcp请求,同时会与CC服务器185.47.62.133:8716建立连接。因此,可在IoT业务网络中对流量抓取和分析,判断是否受到恶意软件影响。
3.2.1.1 23端口访问检测
经分析,恶意软件具有全网扫描telnet弱口令的功能,如果对网络进行抓包分析,可以看到在网络通信数据流中充斥着大量发往目的端口23的tcp数据包。
使用wireshark打开捕获到的数据包进行分析,在菜单栏中依次点击“统计”-“会话”(Statistics-Conversations)。
可以看到在整个网络数据通信数据中,在一段时间内,10.153.146.141主机发往目的端口23的tcp数据包占比非常高,可判定10.153.146.141主机为被感染设备。
3.2.1.2 CC服务器访问检测
恶意软件会与远程CC服务器185.47.62.133:8716建立连接,使用Wireshark工具打开捕获到的数据包,来检查通信过程中是否有发往目的ip为185.47.62.133、目的端口为8716的TCP数据。使用过滤条件“ip.dst == 185.47.62.133 && tcp.dstport == 8716”来快速定位是否有与CC服务器建立过通信。
通过排查,可发现源IP:10.153.146.141访问了CC服务器,可确定此设备较大可能被感染恶意软件。
3.2.2 感染设备排查
若广电网络中存在被感染设备,可通过恶意软件的网络行为特征快速判断。详细排查方案按照如下图所示:
通过网络分析定位到被感染设备IP,然后定位至感染设备,再由专业人员,进入命令行,通过可疑进程、可疑网络行为和可疑文件进行排查。
四、应急处置指南
依据的样本行为分析的结果,可从网络层和终端两个方面着手对机顶盒恶意软件进行防护。
4.1 NIPS防护
目前绿盟IPS已支持该恶意软件特征的检测,可协助对感染源进行分析定位。步骤如下:
IPS规则防护
在线升级
如果设备可以访问外网,可以选择在线升级的方式让设备进行自动升级。登录NIPS,点击左侧“系统升级”,在右侧的窗口中点击“在线升级”,点击立即升级按钮即可。
离线升级
如果设备无法在线升级,可以选择手动离线升级的方式,将规则包手动导入设备中。请确保设备的规则版本不低于表格中所列出的版本,相关设备版本及对应的IPS规则下载链接如下:
| 设备版本 | 规则版本 | 下载链接 |
| 5.6.10 | 5.6.10.16481 | http://update.nsfocus.com/update/downloads/id/19023 |
| 5.6.9 | 5.6.9.16481 | http://update.nsfocus.com/update/downloads/id/19022 |
| 5.6.8 | 5.6.8.668 | http://update.nsfocus.com/update/downloads/id/18946 |
| 5.6.7 | 5.6.7.668 | http://update.nsfocus.com/update/downloads/id/18947 |
下载好升级包后登录NIPS,点击左侧“系统升级”,在右侧窗口中点击“离线升级”。
在左侧下拉列表中选择“系统规则库*.rule”。
点击选择文件,在弹出的窗口中选择下载的升级包文件(文件后缀为.rule)。
选择完成后,点击上传按钮即可完成离线升级。
升级规则后的IPS,会将规则自动更新到系统模板中,防护IoT机顶盒恶意软件攻击的规则会立即生效。
自定义临时规则防护
该恶意软件会与CC服务器(185.47.62.133:8716)建立通信,可以通过新建自定义规则来封堵对8716端口的访问。若恶意软件更新变种,此防护措施极可能失效,因此建议及时更新规则以实现长期防护。
登录NIPS系统,点击左侧“对象”-“规则”,在右侧窗口中点击“自定义规则”,然后点击右侧“新建”按钮。
在弹出的窗口中,按照下图进行配置。
配置完成后点击确定,然后点击右上角“应用配置”。
在用户规则模板选项卡中,新建模板。
在弹出的窗口中设置模板名称和刚刚自定义的机顶盒病毒临时防护规则,可根据需要设置告警、阻断、隔离、抓包操作。
确定后,点击右上角应用配置按钮。
配置完成后,到入侵防护策略中新建防护策略。
点击新建按钮后,在“规则模板”处选择自定义的“机顶盒病毒临时防护模板”,其他选项可根据需求进行设置。
配置完成后,点击右上角“应用配置”按钮即可生效。
4.2 DDoS防护
此恶意软件通过感染和控制设备,进行DDoS攻击,为防范企业网络遭受恶意流量攻击,建议及时部署抗DDoS设备。
绿盟抗拒绝服务系统(NSFOCUS Anti-DDoS System,ADS)可部署于企业网络,在有DDoS攻击时可提供有效的防护。
4.3 终端防护
在未感染恶意软件的终端系统中,及时进行以下操作进行防护,避免恶意软件感染。
4.3.1 iptables访问控制
由于恶意软件访问的端口为8716,可通过封堵访问目的端口8716通信的方式临时防护,但是,若恶意软件更新变种,此防护措施极为可能失效,请及时关注绿盟科技安全通告。
防火墙配置命令参考如下:
| iptables -A OUTPUT -p tcp –dport 8716 -j DROP |
4.3.2 关闭telnet服务
编辑文件/etc/xinetd.d/telnet,使用命令vi /etc/xinetd.d/telnet,把disable项改为yes,即disable = yes。
重启xinetd服务,使用命令service xinetd restart。
4.3.3 修改telnet默认端口号
首先按照4.2.1节的步骤将disable设置为yes。编辑文件/etc/services,使用命令vi /etc/service,找到telnet 23/tcp和telnet 23/udp,将23修改为其他不常用端口,如2323。
修改完成后重启xinetd服务,使用命令service xinetd restart。
4.3.4 修改初始口令
对设备的初始口令进行修改,将默认密码修改为复杂的强密码,可有效防止弱口令攻击。同时加强用户名及密码的安全性和保密性管理,防止数据泄漏。
4.3.5 权限设置
排查挂载的可写目录,权限是否为最小化,确保可写目录重启后可被清空。
4.3.6 固件备份升级
将加固后的策略或配置打包为新固件,便于指导其他终端用户更新升级。
五、持续监测
使用主动检测结和被动持续监测的方式,及时发现受感染的网络并及时处置。
5.1 威胁情报持续监测
考虑到企业网络和业务的复杂性,需要企业、设备相关厂商和安全厂商一起协作,形成快速、安全、有效的行动方案,避免网络和业务系统在获得安全加固之前遭受攻击。
在应对机顶盒IoT恶意软件的过程中,作为企业方,建议您关注如下实施方案和环节:
- 第一时间获取机顶盒IoT恶意软件的相关情报,理解攻击者的思路及技术特性;
- 需要将情报与自身实际业务系统状况相结合,全面判断出影响范围和程度;
- 及时升级防护设备规则,对恶意软件进行防护。NTI能够与NIPS/NIDS、ADS联动,结合威胁情报建设全面、动态的安全防护体系。
- 对存在安全隐患的网络进行整改和加固(建议邀请业务系统相关厂商及安全厂商一同参与)。
- 如果还没有采用任何一款安全设备,就需要采取临时防护措施,包括采用业务系统相关厂商及安全厂商的相关方案,为整体加固争取时间,避免在未加固整改成功之前这个窗口时间遭到攻击并受到损失;
5.2 攻击溯源持续监测
通过攻击溯源平台,根据CC服务器IP等信息定期对FLOW数据进行查询分析,自动统计异常流量趋势和TOPN信息,快速定位问题机顶盒设备的物理位置和网络位置,可导出原始FLOW,联合设备厂家及安全分析人员进行排查监测。
5.3 NIPS设备持续监测
网络中接入NIPS设备,通过流量镜像分析的方式,结合告警日志持续对网络中的蠕虫病毒攻击监测。
- 及时更新产品规则库。
- 配置NIPS监测和防护策略,对网络中的蠕虫病毒攻击实时监测。
- 定期对告警日志进行分析,及时定位问题主机,并采取相应的防护措施。
六、样本行为分析
对样本文件进行分析,该恶意软件会对开放Telnet及SSH服务的目标设备,尝试通过内置用户名/口令字典进行登陆,一旦登陆成功,便通过设备的busybox工具下载并执行恶意软件程序;同时利用其蠕虫功能,还将自动化扫描局域网及互联网中开放了Telnet以及具有弱口令的其他设备,从而构建其庞大的僵尸网络。
通过对CC控制端进行溯源,发现该Linux平台下的恶意软件还支持多种处理器架构,包括x86、ARM、MIPS;另外还支持多种DDOS攻击类型,如:HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE ip Flood等;同时由于其攻击对象通常均为用户上网出口设备,因此该恶意软件具备发起大规模、大流量DDOS攻击的能力。
6.1 本地行为
恶意软件文件主要有以下本地行为:
- 监听本地的1992端口。
- 使用内置的用户名和密码列表尝试进行telnet登录。
6.2 网络行为
恶意软件主要有以下网络行为:
- 与CC服务器(47.62.133:8716)建立通信。
- 通过busybox工具下载并执行恶意程序。
- 具有发起DDoS攻击的能力。
FAQ
Q:如果有应急需求,如何联系?
A:绿盟科技应急指挥中心电话:400-818-6868,可以随时拨打或者联系客户经理,以便就近需求快速支援。
Q:恶意软件如何进行传播?
A:通过telnet弱口令进行传播,当终端设备没有及时修改为强密码,都有可能面临被感染的风险。
Q:如何检测主机是否已感染该恶意软件?
A:主机侧可检查是否监听了1992端口。网络侧可检查是否与185.47.62.133:8716建立过通信。
Q:如何监测网络内是否有恶意软件正在传播?
A:可部署绿盟网络入侵防护系统(简称IPS),对镜像的交换机流量进行分析,及时发现对telnet进行爆破的行为。
Q:绿盟NF防火墙系统如何防护?
A:新建安全区,新建对象8716端口服务,设置TCP 8716端口的阻断策略。
声 明
=============
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
==============
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。