MeetupStandup/2. DDOS

71 lines
5.9 KiB
Plaintext
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

2. ДДОС - 12 минут
2.1 Крупнейшие ботнеты NECURS, MIRAI, BRICKERBOT, WIREX
2.1.1 NECURS - Responsible for emailing massive amounts of
ransomware, banking malware, dating spam,
pump-n-dump stock scams, and cryptocurrency
wallet-phising
2.1.2 MIRAI - Malware that turns network devices (IOT)
running Linux into remotely controlled bots that can
be used as part of a largescale botnet network
attacks.
2.1.3 BRICKERBOT - Attacks via remote execution using a
destuctive sequence. It leverages a network of
detection sensors, including bots and sentinels, and
only attacks infected devices
2.1.4 WIREX - Infected 120,000 Android smartphones via
hundreds of mobile apps found in the Google Play
store.
2.2 Как заражаются устройства - стандартные логины/пароли и
известные эксплойты для обнаруженного софта или устройства
очень хороший способ скомпрометировать системы от ПК до
ИОТ устройств. Поиск подходящих устройств ведется либо
самостоятельно путем перебора IP адресов и снятия меток
с машин либо через специальные поисковики типа Shodan.
Зная адреса машин и версии софта установленных на них
бот автоматически запускает скрипт с эксплойтом и пытается
получить доступ либо брутфорсит стандартные пути и пароли.
Получив доступ в систему (если это была не целевая атака
на конкретно ваш сервер, скорее всего получите криптомайнер,
в случае ПК кей логгер в комплекте с сетевым сканнером,
либо атакующий вирус для привлечения вашего железа к
труду на пользу ботнета.
2.3 Что с этим можно сделать?
2.3.1 Обновляйте софт. Возможно вам лень или нету времени
разворачивать зависимости и вы используете супер
старые продукты потому что так работает, помните
что это так же работает для злоумышленников.
2.3.2 Установите каптчу. Логика простая, с любым именем
и содержимым используется устанавливаимая сайтом
кука. Предположим есть простейший сайт с единой
точкой входа, проверяем у запроса куку, если она
есть - безусловно пропускаем на сайт, если нет
записываем хэши IP и User-Agent, еще рекомендуют
добавить местоположение полученное по IP.
Далее логгируем время + метки запроса. Смысл в том
что бы одному IP дать один шанс на получение куки.
Если клиент приходит второй раз без куки, шлем
его в каптчу. Если не прошел шлем его ... опять
в каптчу или в блэклист. Для API и AJAX запросов
можно делать примерно тоже самое.
2.3.3 Cloudflare. Хоть и не очень хороший сервис, так
как IP реально машины все равно можно было узнать,
23.02.2017 исследователи подготовили отчет об
уязвимостях, в частности была возможность угнать
пользовательские ssl ключи но радует что уязвимость
закрыли за 7 часов, а первый фикс выпустили за 47
минут поэтому вроде как ничего не успело утечь.
С другой стороны сервис уже более зрелый, главное
если ваш домен уже застветился в сети с вашим IP
перед установкой CF прокси сменить IP сервера.
2.3.4 Не забывайте про Firewall. Очень важно держать
лишние порты закрытыми для внешнего мира и
ограничить исходящий трафик. Если ваше приложение
состоит из микросервисов, старайтесь разместить
их сугубо в закрытой внутренней сети.
2.4.5 Отдельного внимания заслуживает настройка локальных
mail сервисов. Кроме того что правильная настройка
mail сервиса достаточно не тривиальная задача,
к сожалению их очень часто забывают обновлять.
Поэтому по возможности использовать внешние
сервисы с доступом по API.