web-dev-qa-db-ja.com

侵害されたネットワークデバイスに対処するにはどうすればよいですか?

ネットワークデバイス(モデム、ルーター、スイッチ、アクセスポイントなど)が危険にさらされていると思います。私は何をすべきか?

10
André Borie

この回答は 侵害されたサーバーにどのように対処するか に基づいていますが、組み込みデバイスおよびホーム/ SoHoユーザー向けに適合されています。時間があるときにその答えを読むことをお勧めしますが、これは(やや)短いバージョンです。

最初のステップ、できるだけ早く実行する

デバイスをネットワークから分離します。すべてのイーサネットケーブルを取り外し、可能であればハードウェアレベルでWi-Fiをオフにします(デバイスにアンテナが内蔵されている場合があるため、アンテナを取り外すのは安全ではないことに注意してください)。または、少なくともすべてのデバイスをネットワークから切断します。これにより、マルウェアがさらに被害を与えることを防ぐことができます(サービス拒否攻撃の開始、コマンドアンドコントロールサーバーである、または 疑わしいサイトのホスティング など)。また、人間のオペレーターがリアルタイムで何をしているのかを確認できず、アクションを回避できず、失敗した試みを笑うこともできません。

次に、デバイスにさらされたすべてのコンピューターまたはデータが危険にさらされる可能性があることを考慮する必要があります。デバイスがネットワーク上の他のコンピューターを悪用しようとした可能性があります。これは、攻撃者がファイアウォールを通過してネットワーク内にいるため、非常に有利です。コンピューターがローカルネットワークを信頼している可能性があるため、リスクが高くなります。

ルーターが提供するネットワーク接続を介してHTTPサイトを閲覧しましたか?ページが改ざんされて悪意のあるものが含まれているか、ダウンロードしたバイナリがマルウェアに置き換えられているか、ルーターがそこに送信したデータ(パスワードなど)をログに記録して攻撃者に転送した可能性があります。

デバイスにストレージドライブが含まれていますか?侵害されたデータも考慮してください。 PDFにエクスプロイトが含まれている、バイナリがマルウェアに置き換えられている、ヌード写真がどこかにアップロードされている可能性があります。そこにデータを持っている人に問題について通知し、適切なアクションを実行できるようにします。

お使いのデバイスはワイヤレスですか?暗号化キーは危険にさらされているため、同じキーで同じワイヤレスネットワークをホストする他のアクセスポイントで変更する必要があります。

最後に、デバイスの管理パスワードは危険にさらされており、再利用するすべての場所で変更する必要があります。ネットワーク上の他のデバイスが同じパスワードを使用した場合、管理者としてログインし、悪意のあるバージョンであるこの新しいファームウェア「アップデート」をうまくインストールするように要求するだけで侵害される可能性があります。

問題を調べる

現在、影響を受けるデバイスはオフラインになっており、これ以上の損傷はないはずです。これで、攻撃者がどのように侵入して、これが将来起こらないようにするかを理解する必要があります。

攻撃者が侵入したのを見てみましょう-それはファームウェアの脆弱性(残念ながら、そのようなデバイスではあまりにも一般的すぎます)か、デフォルトの管理者パスワードですか

最新のマシンとブラウザで、デバイスに接続し、そのWebインターフェイスを調べて手掛かりを探します。 Webインターフェースは外部からアクセス可能でしたか(しばしば「リモート管理」と呼ばれていました)?

妥協の程度を確認してください。正常に見えるWebインターフェースはすべてが問題ないということではありませんが、たとえば、DHCP設定に悪意のあるDNSサーバーアドレスが表示された場合、この悪意のあるDNSサーバーがこのデバイスからのすべてのDHCP応答で確かに提供されていることを確認できます。ポート転送エントリを調べることによって情報を収集することもできます-攻撃者はいくつかのポートを内部マシンに転送してそれらに接続できる可能性があります-その場合、それらのマシンも侵害されます。

他のデバイス自体を見てみましょう-それらからの異常なトラフィック(DoS攻撃)、暗号化されていないデータの奇妙な改ざん(マルウェアまたはHTTPページへの広告の挿入など)など、異常なことはありませんか?

構成をバックアップする

デバイスの構成方法に関するドキュメントがない場合は、Webインターフェイスを参照し、PPPoEログイン、DHCP割り当て、ポート転送など)のような重要な値をコピーして貼り付けます。攻撃者がネットワークに確実にアクセスできるように設計された設定を誤って保持しないように、設定を確認してください。

組み込みの構成バックアップ機能を使用しないでください。それらのほとんどは、構成を難読化/暗号化されたバイナリファイルにエクスポートします(ファームウェアの開発者によると、人間が読めるJSONは便利すぎると思われます)。それを調べる方法はありません。ファイルをインポートするコードには脆弱性が存在する可能性があり、攻撃者はデバイスに悪意のある構成バックアップファイルを返させて、この構成を再度インポートする置換デバイスを危険にさらすことにより、その計画を立てている可能性があります。

回復

あなたは攻撃がどのように起こったのか、そして将来それを防ぐ方法を理解していますが、どのようにしてこの特定のデバイスを回復しますか?

多くの場合、ネットワーク機器は私たちが慣れているコンピューターやサーバーとはかなり異なります-信頼できるインストールメディアから起動して、信頼できるインストールメディアを上書きできるように、侵害されたOSが制御する前に、それらのブートローダーによって信頼できる環境に簡単にアクセスできません。ディスクを挿入し、そこからマシンを起動することで、コンピュータでできるように。その結果、手順はより複雑になり、製造元によって大きく異なります。

出荷時設定へのリセットでは不十分なのはなぜですか?

多くの人はデバイスをリセットすることを勧めますが、このアプローチには欠点があります。

リセットはOSによって制御されます。デバイスのウェブインターフェースまたはリセットボタンからリセットを行った場合、ウェブインターフェース全体が不正使用されたファームウェアの制御下にあるため、実際にリセットされることを保証するものは何もありません。マルウェアをそのままにしながら、デバイス。

ファームウェアの再インストール、またはそれを行う正しい方法

ファームウェアの再インストールは正しい解決策ですが、繰り返しになりますが、従来のコンピューターでは、既知の良好なインストールメディアから起動できるため(コンピューターに悪意のあるOSをロードしないため)、組み込みデバイスでは簡単に実行できません。ルーターなど。

マルウェアが機能を無効にするか、偽造するか、適切に実行して、新しいファームウェアイメージをその場で改ざんしてインストール前に埋め込むため、Webインターフェイスからの再インストールにはリセットと同じ問題があります。あなたは確かに新しいファームウェアを実行しています。

ブートローダー自体からの再インストールは、ブートローダーを信頼していることを前提として機能します。改ざんも可能ですが、コンピューターと同様に、悪意のあるブートローダーはその特定のモデルとリビジョンでしか機能しないため、攻撃の費用対効果が低くなり、攻撃者は、テスト用に同じデバイスを購入することに投資します(マルウェアバイナリはデバイスのアーキテクチャに仮想マシンを必要とするだけで、同じアーキテクチャを共有するすべてのデバイス間で移植可能です)。

悪意のあるOSをロードせずに、ブートローダーにアクセスしてそこから直接再インストールする方法はいくつかあります。それらは製造元ごとに異なり、ドキュメントにはそれが指定されていないことがよくあります。製造元が既成のブートローダーを使用していて、そのリカバリ機能を備えていることにさえ気付いていなかった可能性があります。 ハードウェアのOpenWRTテーブル を検索して、デバイスのエントリがあるかどうかを確認することをお勧めします。 TFTPまたはシリアル経由でブートローダーにアクセスし、ファームウェアイメージをロードする方法を説明している可能性があります。この手順を使用して、製造元のイメージ、またはデバイスが十分にサポートされている場合はOpenWRTをロードできます。

フラッシュチップをプログラミングするが、真剣に新しいデバイスを購入する

他のすべてが失敗し、何らかの理由で新しいデバイスを購入できない場合、信頼できるマシンからフラッシュチップをプログラムして、そこにある可能性のある悪意のあるコードを完全にバイパスする方法があります。正しい手順は製造元とモデルによって異なり、チップとのインターフェースに特別なハードウェアが必要です(多くの場合、SPIまたはI2Cインターフェースを使用します)。パーティションレイアウトを次のように正しく取得する必要があります。多くの場合、製造元から提供されるファームウェアファイルには、単一のパーティションのみが含まれているか、フラッシュに書き込む前に適切に解凍する必要があるカスタム形式です。

それが再び起こらないことを確認してください

まず、ネットワーク上の他のすべてのデバイスがクリーンアップされるまで、デバイスをオンラインにしないでください。そうしないと、悪意のあるデバイスがクリーンデバイスを危険にさらし、サイクルが繰り返されるリスクがあります。

さて、最初にデバイスがどのように侵害されたかについて以前に収集された手がかりに基づいて、将来自分を保護する方法を理解してください。

人為的エラー(パスワードの誤り、リモートからアクセス可能なWebインターフェイスなど)の場合は、それが再発しないことを確認し、他のデバイスをチェックして、同じ欠陥を共有していないことを確認します。

それがエクスプロイトである場合は、製造元のWebサイトでファームウェアの更新を確認してください。 OpenWRTなどの代替ファームウェアを使用することを検討してください。ほとんどのコンシューマーグレードのデバイスでひどいことで悪名高い公式ファームウェアと比較して、ファームウェアのメンテナンスが改善されています。

利用可能なアップデートがない場合は、ベンダーの切り替えを検討してください。優れたセキュリティ実績のあるものを選択してください。ホームユーザーの場合は、ファームウェアが優れていることが多いエンタープライズデバイスへの投資を検討してください。または、OpenWRTやPFSenseなどの優れた代替ファームウェアでサポートされているデバイスに投資します。または自分で作成します。真実は、ほとんどのホームユーザーとSoHoユーザーにとって、Linuxディストリビューションを備えた古いデスクトップコンピューターはルーターとして不思議であり、他のサーバーと同じように維持し、最新に保つことができます。

それが再び起こるように計画する

この事件があなたを驚かせ、数時間のダウンタイムを経験したと私はかなり確信しています。次はこのようにすべきではありません。このページをブックマークして、すべてを文書化し、構成設定を手元に用意してください。これにより、これが再び発生した場合に、交換用デバイスをはるかに迅速にセットアップできます。

6
André Borie