71 lines
5.9 KiB
Plaintext
71 lines
5.9 KiB
Plaintext
|
2. ДДОС - 12 минут
|
|||
|
|
2.1 Крупнейшие ботнеты NECURS, MIRAI, BRICKERBOT, WIREX
|
|||
|
|
2.1.1 NECURS - Responsible for emailing massive amounts of
|
|||
|
|
ransomware, banking malware, dating spam,
|
|||
|
|
pump-n-dump stock scams, and cryptocurrency
|
|||
|
|
wallet-phising
|
|||
|
|
2.1.2 MIRAI - Malware that turns network devices (IOT)
|
|||
|
|
running Linux into remotely controlled bots that can
|
|||
|
|
be used as part of a largescale botnet network
|
|||
|
|
attacks.
|
|||
|
|
2.1.3 BRICKERBOT - Attacks via remote execution using a
|
|||
|
|
destuctive sequence. It leverages a network of
|
|||
|
|
detection sensors, including bots and sentinels, and
|
|||
|
|
only attacks infected devices
|
|||
|
|
2.1.4 WIREX - Infected 120,000 Android smartphones via
|
|||
|
|
hundreds of mobile apps found in the Google Play
|
|||
|
|
store.
|
|||
|
|
2.2 Как заражаются устройства - стандартные логины/пароли и
|
|||
|
|
известные эксплойты для обнаруженного софта или устройства
|
|||
|
|
очень хороший способ скомпрометировать системы от ПК до
|
|||
|
|
ИОТ устройств. Поиск подходящих устройств ведется либо
|
|||
|
|
самостоятельно путем перебора IP адресов и снятия меток
|
|||
|
|
с машин либо через специальные поисковики типа Shodan.
|
|||
|
|
Зная адреса машин и версии софта установленных на них
|
|||
|
|
бот автоматически запускает скрипт с эксплойтом и пытается
|
|||
|
|
получить доступ либо брутфорсит стандартные пути и пароли.
|
|||
|
|
Получив доступ в систему (если это была не целевая атака
|
|||
|
|
на конкретно ваш сервер, скорее всего получите криптомайнер,
|
|||
|
|
в случае ПК кей логгер в комплекте с сетевым сканнером,
|
|||
|
|
либо атакующий вирус для привлечения вашего железа к
|
|||
|
|
труду на пользу ботнета.
|
|||
|
|
2.3 Что с этим можно сделать?
|
|||
|
|
2.3.1 Обновляйте софт. Возможно вам лень или нету времени
|
|||
|
|
разворачивать зависимости и вы используете супер
|
|||
|
|
старые продукты потому что так работает, помните
|
|||
|
|
что это так же работает для злоумышленников.
|
|||
|
|
2.3.2 Установите каптчу. Логика простая, с любым именем
|
|||
|
|
и содержимым используется устанавливаимая сайтом
|
|||
|
|
кука. Предположим есть простейший сайт с единой
|
|||
|
|
точкой входа, проверяем у запроса куку, если она
|
|||
|
|
есть - безусловно пропускаем на сайт, если нет
|
|||
|
|
записываем хэши IP и User-Agent, еще рекомендуют
|
|||
|
|
добавить местоположение полученное по IP.
|
|||
|
|
Далее логгируем время + метки запроса. Смысл в том
|
|||
|
|
что бы одному IP дать один шанс на получение куки.
|
|||
|
|
Если клиент приходит второй раз без куки, шлем
|
|||
|
|
его в каптчу. Если не прошел шлем его ... опять
|
|||
|
|
в каптчу или в блэклист. Для API и AJAX запросов
|
|||
|
|
можно делать примерно тоже самое.
|
|||
|
|
2.3.3 Cloudflare. Хоть и не очень хороший сервис, так
|
|||
|
|
как IP реально машины все равно можно было узнать,
|
|||
|
|
23.02.2017 исследователи подготовили отчет об
|
|||
|
|
уязвимостях, в частности была возможность угнать
|
|||
|
|
пользовательские ssl ключи но радует что уязвимость
|
|||
|
|
закрыли за 7 часов, а первый фикс выпустили за 47
|
|||
|
|
минут поэтому вроде как ничего не успело утечь.
|
|||
|
|
С другой стороны сервис уже более зрелый, главное
|
|||
|
|
если ваш домен уже застветился в сети с вашим IP
|
|||
|
|
перед установкой CF прокси сменить IP сервера.
|
|||
|
|
2.3.4 Не забывайте про Firewall. Очень важно держать
|
|||
|
|
лишние порты закрытыми для внешнего мира и
|
|||
|
|
ограничить исходящий трафик. Если ваше приложение
|
|||
|
|
состоит из микросервисов, старайтесь разместить
|
|||
|
|
их сугубо в закрытой внутренней сети.
|
|||
|
|
2.4.5 Отдельного внимания заслуживает настройка локальных
|
|||
|
|
mail сервисов. Кроме того что правильная настройка
|
|||
|
|
mail сервиса достаточно не тривиальная задача,
|
|||
|
|
к сожалению их очень часто забывают обновлять.
|
|||
|
|
Поэтому по возможности использовать внешние
|
|||
|
|
сервисы с доступом по API.
|
|||
|
|
|