IoT机顶盒恶意软件应急处置手册

绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认为对外发起DDOS攻击导致,攻击类型多样,包括TCP Flood、HTTP Flood、DNS Flood等。

一、事件背景

绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认为对外发起DDOS攻击导致,攻击类型多样,包括TCP Flood、HTTP Flood、DNS Flood等。通过对攻击源IP进行溯源,发现攻击来自普通用户终端设备,包括数字电视机顶盒及EOC终端设备,并涉及多家设备开发厂商。

二、准备工作

为判断网络是否受到IoT机顶盒恶意软件影响,且有针对性防护,绿盟科技提供检测及防护方案,下表为相关检测和防护工具。

边界防护类 绿盟网络入侵防护/检测系统(IPS/IDS)
防御类 绿盟抗拒绝服务系统(ADS)
检测类 Wireshark

三、风险检测

针对恶意软件在主机层面和网络层面的特征,可通过网络进行检测,来确定在当前网络环境中是否存在威胁。

3.1基于网络检测

若广电网络中存在被感染设备,则设备会向大量外网ip的23端口发送tcp请求,同时会与CC服务器185.47.62.133:8716建立连接。因此,可在广电网络中对流量抓取和分析,判断是否受到恶意软件影响。

3.1.1检测向23端口的发包频率

恶意软件具有全网扫描telnet弱口令的功能,如果对网络进行抓包分析,可以看到在网络通信数据流中充斥着大量发往目的端口23的tcp数据包。

使用wireshark打开捕获到的数据包进行分析,在菜单栏中依次点击“统计”-“会话”(Statistics-Conversations)。

可以看到在整个网络数据通信数据中,在一段时间内,发往目的端口23的tcp数据包占比非常高。

3.1.2检查CC服务器

恶意软件会与远程CC服务器185.47.62.133:8716建立连接,使用Wireshark工具打开捕获到的数据包,来检查通信过程中是否有发往目的ip为185.47.62.133、目的端口为8716的TCP数据。使用过滤条件“ip.dst == 185.47.62.133 && tcp.dstport == 8716”来快速定位是否有与CC服务器建立过通信。

四、应急处置指南

依据第五章节的样本行为分析的结果,可从网络层和终端两个方面着手对机顶盒恶意软件进行防护。

4.1网络层防护

4.1.1 IPS防护

目前绿盟IPS已支持该恶意软件特征的检测,可协助对感染源进行分析定位。步骤如下:

4.1.1.1 IPS规则防护

在线升级

如果设备可以访问外网,可以选择在线升级的方式让设备进行自动升级。登录NIPS,点击左侧“系统升级”,在右侧的窗口中点击“在线升级”,点击立即升级按钮即可。

离线升级

如果设备无法在线升级,可以选择手动离线升级的方式,将规则包手动导入设备中。请确保设备的规则版本不低于表格中所列出的版本,相关设备版本及对应的IPS规则下载链接如下:

设备版本 规则版本 下载链接
5.6.10 5.6.10.16481 http://update.nsfocus.com/update/downloads/id/19023
5.6.9 5.6.9.16481 http://update.nsfocus.com/update/downloads/id/19022
5.6.8 5.6.8.668 http://update.nsfocus.com/update/downloads/id/18946
5.6.7 5.6.7.668 http://update.nsfocus.com/update/downloads/id/18947

下载好升级包后登录NIPS,点击左侧“系统升级”,在右侧窗口中点击“离线升级”。

在左侧下拉列表中选择“系统规则库*.rule”。

点击选择文件,在弹出的窗口中选择下载的升级包文件(文件后缀为.rule)。

选择完成后,点击上传按钮即可完成离线升级。

升级规则后的IPS,会将规则自动更新到系统模板中,防护IoT机顶盒恶意软件攻击的规则会立即生效。

4.1.1.2 自定义临时规则防护

该恶意软件会与CC服务器(185.47.62.133:8716)建立通信,可以通过新建自定义规则来封堵对8716端口的访问。

登录NIPS系统,点击左侧“对象”-“规则”,在右侧窗口中点击“自定义规则”,然后点击右侧“新建”按钮。

在弹出的窗口中,按照下图进行配置。

 

配置完成后点击确定,然后点击右上角“应用配置”。

4.1.2 iptables访问控制

封堵访问目的端口8716的通信,参考下面的命令。

iptables -A OUTPUT -p tcp –dport 8716 -j DROP

4.1.3 DDoS防护

为防止恶意软件发起DDoS攻击,建议及时部署抗DDoS设备。

4.2 终端防护

在未感染恶意软件的终端系统中,及时进行以下操作进行防护,避免恶意软件感染。

4.2.1 关闭telnet服务

编辑文件/etc/xinetd.d/telnet,使用命令vi /etc/xinetd.d/telnet,把disable项改为yes,即disable = yes。

重启xinetd服务,使用命令service xinetd restart。

4.2.2 修改telnet默认端口号

首先按照4.2.1节的步骤将disable设置为yes。编辑文件/etc/services,使用命令vi /etc/service,找到telnet 23/tcp和telnet 23/udp,将23修改为其他不常用端口,如2323。

修改完成后重启xinetd服务,使用命令service xinetd restart。

4.2.3 修改初始口令

对设备的初始口令进行修改,将默认密码修改为复杂的强密码,可有效防止弱口令攻击。同时加强用户名及密码的安全性和保密性管理,防止数据泄漏。

4.2.4 权限设置

排查挂载的可写目录,权限是否为最小化,确保可写目录重启后可被清空。

4.2.5 固件备份

将加固后的策略或配置打包为新固件,便于指导其他终端用户更新升级。

4.3 持续监测

使用主动检测结和被动监测的方式,及时对网络中存在的被感染设备以及新接入设备进行风险排查。

4.3.1 主动监测

定期对网络流量进行镜像,或限时段抓包,将获取到的数据包放入Wireshark中分析,分别排查一下3个方面:

  • 一段时间内,向23端口发包的数量占比非常高。
  • 检查主机是否监听了本地1992端口。
  • 数据包中是否有与CC服务器47.62.133:8716的通信。

4.3.2 被动持续监测

网络中接入NIPS设备,通过流量镜像分析的方式,持续对网络中的蠕虫病毒攻击监测。

  • 及时更新产品规则库。
  • 配置NIPS监测和防护策略,对网络中的蠕虫病毒攻击实时监测。
  • 定期对告警日志进行分析,及时定位问题主机,并采取相应的防护措施。

五、样本行为分析

对样本文件进行分析,该恶意软件会对开放Telnet及SSH服务的目标设备,尝试通过内置用户名/口令字典进行登陆,一旦登陆成功,便通过设备的busybox工具下载并执行恶意软件程序;同时利用其蠕虫功能,还将自动化扫描局域网及互联网中开放了Telnet以及具有弱口令的其他设备,从而构建其庞大的僵尸网络。

通过对CC控制端进行溯源,发现该Linux平台下的恶意软件还支持多种处理器架构,包括x86、ARM、MIPS;另外还支持多种DDOS攻击类型,如:HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE ip Flood等;同时由于其攻击对象通常均为用户上网出口设备,因此该恶意软件具备发起大规模、大流量DDOS攻击的能力。

5.1 本地行为

恶意软件文件主要有以下本地行为:

  • 监听本地的1992端口。
  • 使用内置的用户名和密码列表尝试进行telnet登录。

5.2 网络行为

恶意软件主要有以下网络行为:

  • 与CC服务器(47.62.133:8716)建立通信。
  • 通过busybox工具下载并执行恶意程序。
  • 具有发起DDoS攻击的能力。
  • FAQ

Q:如果有应急需求,如何联系?

A:绿盟科技应急指挥中心电话:400-818-6868,可以随时拨打或者联系客户经理,以便就近需求快速支援。

Q:恶意软件如何进行传播?

A:通过telnet弱口令进行传播,当终端设备没有及时修改为强密码,都有可能面临被感染的风险。

Q:如何检测主机是否已感染该恶意软件?

A:主机侧可检查是否监听了1992端口。网络侧可检查是否与185.47.62.133:8716建立过通信。

Q:如何监测网络内是否有恶意软件正在传播?

A:可部署绿盟网络入侵防护系统(简称IPS),对镜像的交换机流量进行分析,及时发现对telnet进行爆破的行为。

Q:绿盟NF防火墙系统如何防护?

A:新建安全区,新建对象8716端口服务,设置TCP 8716端口的阻断策略。

 

 

=============

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 

关于绿盟科技

==============

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

发表评论