web-dev-qa-db-ja.com

DynのDNSサービスに対する最近のDDoS攻撃に参加しましたか?

報告された 米国の複数のWebサイトに影響を与えている最近の大規模なDDoS攻撃は、デバイスのハッキング 数千万 によって行われ、攻撃にそれらを使用したことが原因でした。

一般に、デバイスがハッキングされ、攻撃に使用されたかどうかをどのようにして知ることができますか?

attacksddos
74
Thomas

ネットワークトラフィックをアクティブに監視していない場合、事後を知ることは少し難しい場合があります。しかし、参加者になるリスクがあるかどうかを判断し、将来の参加を軽減するために、今できることがいくつかあります。

多くの場所で言及されているように、WAN router/bridge/cablemodem/firewallでuPnPがオンになっている場合、ローカルネットワークが危険にさらされていることは間違いありません。これをオンにする必要があります。オフ。

さまざまなデバイスで、デフォルトの管理者パスワードを設定したままにしておくと、開いたままになります。これを変える。

デバイスのファームウェアが最新であることを確認し、近い将来さらにアップデートがリリースされることを期待してください。

「コールホーム」のためにインターネットで通信する必要のないデバイスがある場合は、そのようなことをしないようにブロックしてください。デフォルトのルートを与えたり、ファイアウォールルールを追加したりしないでください。

ほとんどのアカウントでは、CCTV(Webカメラなど)が感染して利用される主要なデバイスでした。このようなデバイスを使用していて、既知の違反者のリストが見つかった場合 ここ(https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/) =、何かアクションを起こすことを検討するかもしれません。

38
Shackledtodesk

これを特定することは少し難しいかもしれませんが、可能です。

  1. ネットワーク内のデバイスを特定

    これは些細なことのように聞こえるかもしれませんが、ルーターに接続した後で忘れてしまったかもしれないいくつかの不正なデバイスを見て驚くかもしれません。ルーターのログ、接続されているデバイスを確認し、ローカルネットワークでnmapスイープを実行して、アクティブなデバイスをすべて見つけます。

  2. 管理インターフェースを特定する

    これらすべてのデバイスの管理インターフェースを特定します。私たちの焦点はIoTデバイスにあるため、テレビ、冷蔵庫、IPカムなどのデバイスに対してこの手順を実行します。

  3. 管理インターフェースへのアクセスが制限されているかどうかを確認します。

    Webアプリケーションを使用してIPカムを管理している可能性がありますが、SSHまたはTelnet接続を受け入れるインターフェイスもある可能性があります。これらのポートとサービスを特定し、リモートからアクセスできないようにします。つまり、NATをバイパスするIP転送または方法が有効になっていないことを確認してください。

    デバイスがIPv6対応である場合、ファイアウォール制限または認証チャレンジにより、リモートでの乗っ取りを制限する必要があります。

  4. 外部からアクセスできるすべてのインターフェースで、弱いパスワード、デフォルトのユーザーアカウント、既知のバックドアが無効になっていることを確認してください。

    IPカメラはこの種の問題で悪名高いです。

    要するに、あなたがインターネットの一部をダウンさせたグループの一員であったかどうかを識別する良い方法はありませんが、それが再び起こるのを止める方法はまだあります。

16
hax

マルウェアのソースコードは公開されているため、マルウェアを読み取って、マルウェアと同じエクスプロイトを使用してデバイスを手動で侵害することができます。成功すれば、デバイスが以前に攻撃に参加していた可能性が十分にあります。

もちろん、絶対確実というわけではありません(マルウェアは、デバイスを制御した後で穴をふさぐほど賢い人が設計する可能性があります)が、試してみる価値はあります。

7
André Borie

答えはおそらくNOです:

あなたは先週の金曜日に大規模なDDoS攻撃に参加しませんでした。ボットネットの一部として使用された侵害されたデバイスは、ほとんどの場合非常に古く、セキュリティ対策がありませんでした。たとえば、近くのガソリンスタンドのカメラ(おそらく10〜15年前に購入したカメラ)です。

この記事を読んで、私が言ったことと同じですが、はるかに優れています: https://www.wired.com/2016/10/internet-outage-webcam-dvr-botnet/

記事の一部:

金曜日の騒乱を担当したゾンビウェブカメラの軍隊は、代わりに、産業用セキュリティカメラで構成されています。これは、診療所やガソリンスタンドで見られる種類のカメラであり、それらに接続されている録音デバイスです。また?技術的な基準からすると、ほとんどが古代のものです。

そして:

「これらのほとんどは2004年に開発されました」と攻撃の根本的な原因を追跡しているセキュリティ会社Flashpointの研究開発者であるZach Wikholmは言います。

5
KanekiDev