DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

香港高防_ddos攻击防护_快速接入

05-03 DDOS防御

香港高防_ddos攻击防护_快速接入

BrickerBot使用全球分布的设备网络,这些设备被动地检测来自Mirai和Hajime等物联网机器人的设备的攻击企图。BrickerBot对利用漏洞的尝试作出反应,方法是扫描攻击源中的一组端口,尝试保护设备(基于Janit0r语句的假设),如果无法保护,则最终尝试在telnet会话中使用正好90个块序列阻止设备。只要物联网设备远离任何已知的物联网机器人,就没有理由害怕砖机器人。虽然Hajime可能有着最好的意图,在线ddos防御,并试图主动保护物联网设备免受已知恶意机器人的攻击,但它无意中会引发BrickerBot的愤怒。第一次接触我们第一次接触布里克伯特是在3月20日。在四天多一点的时间里,总共有1895次PDO尝试。后来,BrickerBot走了,虽然我们对这些尝试的起源知之甚少,但Catalin Cimpanu能够以"Janit0r"的名字与作者取得联系。直到4月10日,我们才得到了BrickerBot对另一个蜜罐的新的、更密集的访问。在不到15小时内有1293次PDoS尝试。两个不同的蜜罐,除了运行相同的蜜罐外,没有立即关联。与此同时,Janit0r发表了一些言论,在我们的脑海中不断回荡。在第一次采访加泰林时,Janit0r说"Radware writeup让BrickerBot听起来太简单了","如果安全研究人员……把他们的蜜罐放在更脏的网络上,他们会发现更有趣的事情发生……"在第一次采访后不久,防御ddos软件,加泰林就接到了Janit0r关于中断的消息受影响的Sierra Tel客户位于加利福尼亚州马里波萨市和奥克赫斯特市。在那篇文章中,Janit0r说,"当客户报告问题时,BrickerBot在Sierra Tel网络上很活跃,但他们的调制解调器也刚刚被大量恶意软件感染。"Janit0r认为另一个罪魁祸首是Mirai。直到上周,cc防御模块,防御cc盾,当我们将蜜罐数据与IPS日志中Hajime的动态分析中被阻止的感染尝试联系起来并寻找新的模式时,我们才开始看到一些证据,证明BrickerBot可能如何识别和瞄准受害者。没有证据表明在攻击前进行了主动扫描,至少不是来自攻击期间使用的同一设备。[你可能还喜欢:布里克波特3:Janit0r回来了,复仇之心]如何检测受损设备?从BrickerBot的数据中,可以明显看出,只有有限数量的设备执行了攻击,其中大多数设备确实执行了90次攻击,随后就消失了。数字90在第二次砖头浪潮中更为明显。一个大问题仍然存在:它如何检测受感染的设备?答案一直摆在我们面前,我们只是看看而已。我们的蜜罐是用来监听已知的漏洞端口的,那么如果BrickerBot也这么做了呢?如果它被动地检测诸如Mirai变种和Hajime之类的僵尸网络的攻击企图呢?它不是主动扫描互联网寻找新的受害者,而是在端口TCP/23(telnet)和端口TCP/7457(TR069)上监听受感染物联网设备的扫描。与从每台设备上主动扫描大部分互联网相比,这种技术更高效、更隐蔽。给BrickerBot拨23使用最近发现的BrickerBot源IP地址之一,我们在端口TCP/23上执行了TCP连接测试。连接已建立,ddos防御怎么关,并立即被服务器关闭。几秒钟后,部署在同一个互联网连接上的蜜罐开始显示我们刚刚拨打的同一个BrickerBot源IP的BrickerBot序列。同一个砖头继续进攻,直到达到90次才离开。对先前攻击波中的几个受BrickerBot感染的设备的进一步测试表明,更多的端口是开放的。Telnet到端口7547和19058持续触发BrickerBot攻击,这使我们相信bot正在监听IoT bot利用的大多数已知端口。当戳到一个砖头机器人时,它会带着190个探针返回到22个不同的端口,所有这些端口都对应于已知的在物联网设备上暴露或使用的端口。图:BrickerBot探测端口稍微不同的砖序列在大多数新的砖头砖尝试中都可以看到稍微不同的顺序。这可能需要修改我们的蜜罐代码或Janit0r改进的BrickerBot代码。图:砖序列中的新命令注意新命令"mtd_write erase mtdX"和上一个erase命令中省略了"&"。假设这不是不稳定的行为,按照Janit0r的说法,"机器人的每一个动作都有一个统计上确定的目的,而蜜罐里看似有缺陷的行为其实并非如此。"[你可能还喜欢:BrickerBot-IoT的黑暗骑士]我们所知道的目前,我们知道BrickerBots在一个更大的僵尸网络中运行,在被戳到之前他们是沉默的。被动探测允许BrickerBots独立运行,而不需要指挥和控制(C2)服务器。攻击序列在波之间变化,表明自适应行为和更有效的砖块序列取决于受害者的硬件、软件和/或状态。用于禁用TCP时间戳和减少最大内核线程数的'sysctl'命令是一致的,并且确实提供了一个签名,允许识别和检测BrickerBot。BrickerBot僵尸网络是全球分布的,我们能够识别出223个活动节点。使用肖丹.io以及zoomeye.org网站经查询,似乎几乎所有设备都在运行旧版本的Dropbear SSH服务器,而且大多数设备似乎都有过时的固件,其中一些主机名为"HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD"和"HACKED-ROUTER-HELP-SOS-WAS-MFWORM-intellected",表明这些设备存在漏洞。图:BrickerBot的地理分布——1个点=1个bot,共223个bot阅读Radware应急响应团队发布的2016–2017全球应用与网络安全报告。立即下载

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/50235.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6796265访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X