MeetupStandup/2. DDOS

71 lines
5.9 KiB
Plaintext
Raw Permalink Normal View History

2019-09-06 22:09:56 +03:00
2. ДДОС - 12 минут
2.1 Крупнейшие ботнеты NECURS, MIRAI, BRICKERBOT, WIREX
2.1.1 NECURS - Responsible for emailing massive amounts of
ransomware, banking malware, dating spam,
pump-n-dump stock scams, and cryptocurrency
wallet-phising
2.1.2 MIRAI - Malware that turns network devices (IOT)
running Linux into remotely controlled bots that can
be used as part of a largescale botnet network
attacks.
2.1.3 BRICKERBOT - Attacks via remote execution using a
destuctive sequence. It leverages a network of
detection sensors, including bots and sentinels, and
only attacks infected devices
2.1.4 WIREX - Infected 120,000 Android smartphones via
hundreds of mobile apps found in the Google Play
store.
2.2 Как заражаются устройства - стандартные логины/пароли и
известные эксплойты для обнаруженного софта или устройства
очень хороший способ скомпрометировать системы от ПК до
ИОТ устройств. Поиск подходящих устройств ведется либо
самостоятельно путем перебора IP адресов и снятия меток
с машин либо через специальные поисковики типа Shodan.
Зная адреса машин и версии софта установленных на них
бот автоматически запускает скрипт с эксплойтом и пытается
получить доступ либо брутфорсит стандартные пути и пароли.
Получив доступ в систему (если это была не целевая атака
на конкретно ваш сервер, скорее всего получите криптомайнер,
в случае ПК кей логгер в комплекте с сетевым сканнером,
либо атакующий вирус для привлечения вашего железа к
труду на пользу ботнета.
2.3 Что с этим можно сделать?
2.3.1 Обновляйте софт. Возможно вам лень или нету времени
разворачивать зависимости и вы используете супер
старые продукты потому что так работает, помните
что это так же работает для злоумышленников.
2.3.2 Установите каптчу. Логика простая, с любым именем
и содержимым используется устанавливаимая сайтом
кука. Предположим есть простейший сайт с единой
точкой входа, проверяем у запроса куку, если она
есть - безусловно пропускаем на сайт, если нет
записываем хэши IP и User-Agent, еще рекомендуют
добавить местоположение полученное по IP.
Далее логгируем время + метки запроса. Смысл в том
что бы одному IP дать один шанс на получение куки.
Если клиент приходит второй раз без куки, шлем
его в каптчу. Если не прошел шлем его ... опять
в каптчу или в блэклист. Для API и AJAX запросов
можно делать примерно тоже самое.
2.3.3 Cloudflare. Хоть и не очень хороший сервис, так
как IP реально машины все равно можно было узнать,
23.02.2017 исследователи подготовили отчет об
уязвимостях, в частности была возможность угнать
пользовательские ssl ключи но радует что уязвимость
закрыли за 7 часов, а первый фикс выпустили за 47
минут поэтому вроде как ничего не успело утечь.
С другой стороны сервис уже более зрелый, главное
если ваш домен уже застветился в сети с вашим IP
перед установкой CF прокси сменить IP сервера.
2.3.4 Не забывайте про Firewall. Очень важно держать
лишние порты закрытыми для внешнего мира и
ограничить исходящий трафик. Если ваше приложение
состоит из микросервисов, старайтесь разместить
их сугубо в закрытой внутренней сети.
2.4.5 Отдельного внимания заслуживает настройка локальных
mail сервисов. Кроме того что правильная настройка
mail сервиса достаточно не тривиальная задача,
к сожалению их очень часто забывают обновлять.
Поэтому по возможности использовать внешние
сервисы с доступом по API.