MeetupStandup/2. DDOS

2. ДДОС - 12 минут
  2.1 Крупнейшие ботнеты NECURS, MIRAI, BRICKERBOT, WIREX
      2.1.1 NECURS - Responsible for emailing massive amounts of
            ransomware, banking malware, dating spam,
            pump-n-dump stock scams, and cryptocurrency
            wallet-phising
      2.1.2 MIRAI - Malware that turns network devices (IOT)
            running Linux into remotely controlled bots that can
            be used as part of a largescale botnet network
            attacks.
      2.1.3 BRICKERBOT - Attacks via remote execution using a
            destuctive sequence. It leverages a network of
            detection sensors, including bots and sentinels, and
            only attacks infected devices
      2.1.4 WIREX - Infected 120,000 Android smartphones via
            hundreds of mobile apps found in the Google Play
            store.
  2.2 Как заражаются устройства - стандартные логины/пароли и
      известные эксплойты для обнаруженного софта или устройства
      очень хороший способ скомпрометировать системы от ПК до
      ИОТ устройств. Поиск подходящих устройств ведется либо
      самостоятельно путем перебора IP адресов и снятия меток
      с машин либо через специальные поисковики типа Shodan.
      Зная адреса машин и версии софта установленных на них
      бот автоматически запускает скрипт с эксплойтом и пытается
      получить доступ либо брутфорсит стандартные пути и пароли.
      Получив доступ в систему (если это была не целевая атака
      на конкретно ваш сервер, скорее всего получите криптомайнер,
      в случае ПК кей логгер в комплекте с сетевым сканнером,
      либо атакующий вирус для привлечения вашего железа к
      труду на пользу ботнета.
  2.3 Что с этим можно сделать?
      2.3.1 Обновляйте софт. Возможно вам лень или нету времени
            разворачивать зависимости и вы используете супер
            старые продукты потому что так работает, помните
            что это так же работает для злоумышленников.
      2.3.2 Установите каптчу. Логика простая, с любым именем
            и содержимым используется устанавливаимая сайтом
            кука. Предположим есть простейший сайт с единой
            точкой входа, проверяем у запроса куку, если она
            есть - безусловно пропускаем на сайт, если нет
            записываем хэши IP и User-Agent, еще рекомендуют
            добавить местоположение полученное по IP.
            Далее логгируем время + метки запроса. Смысл в том
            что бы одному IP дать один шанс на получение куки.
            Если клиент приходит второй раз без куки, шлем
            его в каптчу. Если не прошел шлем его ... опять
            в каптчу или в блэклист. Для API и AJAX запросов
            можно делать примерно тоже самое.
      2.3.3 Cloudflare. Хоть и не очень хороший сервис, так
            как IP реально машины все равно можно было узнать,
            23.02.2017 исследователи подготовили отчет об
            уязвимостях, в частности была возможность угнать
            пользовательские ssl ключи но радует что уязвимость
            закрыли за 7 часов, а первый фикс выпустили за 47
            минут поэтому вроде как ничего не успело утечь.
            С другой стороны сервис уже более зрелый, главное
            если ваш домен уже застветился в сети с вашим IP
            перед установкой CF прокси сменить IP сервера.
      2.3.4 Не забывайте про Firewall. Очень важно держать
            лишние порты закрытыми для внешнего мира и
            ограничить исходящий трафик. Если ваше приложение
            состоит из микросервисов, старайтесь разместить
            их сугубо в закрытой внутренней сети.
      2.4.5 Отдельного внимания заслуживает настройка локальных
            mail сервисов. Кроме того что правильная настройка
            mail сервиса достаточно не тривиальная задача,
            к сожалению их очень часто забывают обновлять.
            Поэтому по возможности использовать внешние
            сервисы с доступом по API.