Comments 17
Можно сделать запросы администраторам сетей, откуда эти устройства выходят в сеть о записях netflow/sflow. При их содействии можно найти точку управления ботнетом.
Или представить на голове белую шляпу, вскрыть эти устройства и локализовать зловредный код.
Камеры, роутеры... Напомнило известное
письмо-вымогатель
Здравствуйте!
У меня для вас очень плохие новости.
11.08.2019 — в этот день я взломал вашу операционную систему и получил полный доступ к вашей учетной записи [АДРЕС ЖЕРТВЫ].
Конечно вы можете сменить пароль.. Но моя вредоносная программа перехватывает каждый раз, когда вы его меняете.
Как я это сделал:
В программном обеспечении роутера, через который вы выходили в интернет, была уязвимость.
Я просто взломал этот роутер и поместил на него свой вредоносный код.
Когда вы выходили в интернет, мой троян был установлен на ОС вашего устройства.
...
Я сделал скриншот сайтов для взрослых, на которых вы развлекаетесь (вы понимаете, о чем это, да?).
После этого я сделал скриншоты как вы весьма необычно себя удовлетворяете (используя камеру вашего устройства) и склеил их.
Получилось потрясающе! Это впечатлит любого, тем более ваших знакомых!
Интересно каким образом было установлено количество устройств в ботнете. DNS amp спуфятся адреса на адрес жертвы и соурсы содержат адреса уязвимых DNS серверов. TCP random - тут вообще все адреса могут быть спуфленными.
TCP random - тут вообще все адреса могут быть спуфленными.
Я так понял из статьи, что random данные приходят уже после установления соединения, так что адреса должны быть более-менее реальными
Тогда 600 Гб/с не соответствует истине. При самых скромных подсчетах чтобы отправить 600 Гб/с траффика надо установить более миллиона TCP соединений - 600 Гб/с / 65535 байт ( максимальный размер TCP window). Вариант с построением соединения и отправкой в нем out of state тоже не подойдет - в нем нет смысла, так как такая атака детектируется по заголовкам TCP да и толку от нее ноль - адреса вычисляются без проблем и дальше можно фильтровать по ним, очень неэффективный вариант атаки.
Миллионы TCP соединений не должны быть проблемой для 10k+ устройств. Фильтровать можно пока хватает ширины канала. Я так понимаю, пока просто не занимались оптимизацией урона, просто пытаются траффиком закидать
Миллионы TCP соединений положат конечный сервис ещё до TCP random. Дело то в том - проблема построить их или нет. Авторы статьи пишут что видели 600Г TCP random - либо заблуждаются, либо ооочень сильно преувеличивают. Чтобы развить в рамках множества TCP сессий хоть сколько то значительную полосу эти соединения сначала надо построить. Максимальное окно TCP 65 килобайт, больше послать не удастся, сработает механизм контроля statefull. Чтобы развить 600г надо сначала построить до конечного сервиса миллионы TCP соединений, а это не выйдет. А если соединения не строить, тогда все что будет отправлено можно спокойно и без проблем фильтровать на основании out of state.
Интересно, какая география устройств?
Как можно сделать так чтоб владельцы устройств, чаще и быстрее обновлялись и поможет ли это ?
Никак. Этого никак не сделать. Этими устройствами пользуются люди, в том числе к IT непричастные. Юрист, например, знает законы и как их интерпретировать, но не как обновлять прошивку на железках. Для большинства людей эти "коробочки" магия и тёмный лес.
Правильнее было бы сказать - этими устройствами пользуются люди крайне редко к IT причастные. Навряд ли причастных наберётся хотя бы 1 %.
Ой, ну не надо вот. Винда таки научилась заставлять себя обновлять, может кто-то умный и знает, как этого избежать, но мои родители, тёща, сестра негодуют себе тихонечко, а система обновляется. Аналогично про мобильники, попробуй не обнови, 20 сообщений в день с напоминанием об этом хочешь?
Так что всё можно.
С мобильниками проблема скорее обратное — многие андроиды хочешь обновить а не дают. Нету обновлений.
А с другой стороны — вот те же mikrotik'и которые в том числе и как "нормальный роутер для soho" подаются. один раз человек настроит но если он не повесит скрипт для автообновлений — даже нотификаций что надо обновляться нет. При этом обновление может что то поломать (особенно если не на longterm сидеть) и насколько помню было нечто похожее у меня с моим минимальным(по моему мнению) опытом. А если человек вообще в этом не понимает? И это микротик, где эти обновления хотя бы есть.
А вот допустим мои умные розетки TP-Link Kasa — там один раз при входе в приложение на смартфоне попросило обновить и все. Там что — дыр совсем нет? Про гарантированный срок обновления — как то не слышно. При этом там есть IP-стек и возможность общаться со своим сервером.
Так же, как и заставить производителей устройств выпускать новые прошивки для своих устройств хотя бы с устранениями уязвимостей не два-три раза и после просто забивать на поддержку, а в течение нескольких лет. То есть, практически никак. Ведь масса же роутеров с поддержкой стандарта N работают годами и многим пользователям нет никакого смысла переходить на современные роутеры с поддержкой АС, которые ещё и более дырявыми могут оказаться в погоне производителя за рынком. Так что тут имхо настолько комплексный вопрос, что менять надо очень много чего реально.
Никто эти прошивки обновлять не будет
Даже на телефонах люди бояться обновлять, по тому что это может что-то поменять или потребуется какая-то настройка, даже если это одну галочку поставить людям сложно выбрать, ставить или нет.
А роутер так никак о себе надоедливыми сообщениями не будет напоминать.
А если обновление будет автоматическое, то количество бэкдоров и ситуаций "ой, что-то пошло не так, мы всё исправили, для восстановления вашего роутера подпаяйте кабель к пинам COM-порта и залейтё вот этот файлик по tftp"
Новый ботнет с большим количеством камер и даже некоторыми роутерами