Смысл статьи исключительно в том, чтобы рассказать интересный атак чейн из реальной среды и показать пример эксфильтрации транспорта через биннарщину подвидов dns и расширений, который позволяет обходить IDPS/NTA.
Жаль что так и не нашел, где же я слово «всегда» использовал в статье)
Но я обязательно учту ваши комментарии на будущее =)
Я просто настоятельно рекомендую посмотреть Censys, Fofa или Shodan и лицезреть текущее положение IoT во всем мире) Какие порты открыты, что торчит наружу…
А еще посмотреть на теневых форумах, как много ботнетов основы на IoT)
Про NGFW был пример в рамках транспорта малвари. С IoT этот кейс не связан никак! Автор описанной малвари сделал транспорт через DNS Header сплайсинг и ответ получал в виде 16 байт IPv6. И да, эта малварь часто использовалась для подлома IoT в качестве пейлоада. Но вот именно транспорт использовался исключительно для байпасса решений защиты. Чтобы как раз инжект байтов не был распознан сигнатуркой, а тайм интеррапты там были для того чтобы профилирование и эвристика не триггеррнули.
Только и всего. Это две разные части статьи. Две разные стадии атак чейна.
Но здесь речь именно про те случаи, когда они в паблике. И если просмотреть реконом данные - то можно увидеть, что таких устройств тьма-тьмущая.
Когда вышла CVE на SSH демона на Erlang, использующаяся на фирмвари Cisco, более 15 000 устройств показывал шодан с уязвимой версией и еще больше выдали fofa/censys.
Это я к тому, что сейчас довольного много IoT наружу то торчит.
Что же касается комментария про облако - ну далеко не все в облаке обитают. И далеко не все устройства для такого предназначены. У меня вот L3 коммутатор дома, увы и ах, MikroTik Cloud Switch, а не в облаке! Ах печаль то какая =)
И еще раз - торчащие наружу вебадминки и прочее - миссконфиг и недосмотр. И таких сейчас ой как много.
А здесь как раз таки история про то, что далеко не все закрывают web, ssh с внешних сетей. То есть торчит веб-морда наружу, торчит ssh, а порой и telnet, webdav…
Ну и далее уже пошло-поехало.
А DNS здесь - сугубо как real case с теневого форума, реальный семпл малвари, который ставился блэчерами на IoT и далее уже байпассил потенциальные NGFW, чтобы те не увидели реверс-коннекта.
Туннель через GitHub - довольно классная затея, однако, уже всем давно известная =) Есть множество интересных способов эксфильтрации данных через сервисы Gmail, Google Drive/Docs, Telegram, SoundCloud, Discord или же протоколы по типу NTP, SNMP, SSH... Но про эти техники написано множество постов и статей (В особенности на китайских форумах). В этой статье я лишь хотел подсветить интересные, необычные и забавные способы передачи трафика, которые работают и о которых не так много информации на просторах интернета.
Смысл статьи исключительно в том, чтобы рассказать интересный атак чейн из реальной среды и показать пример эксфильтрации транспорта через биннарщину подвидов dns и расширений, который позволяет обходить IDPS/NTA.
Жаль что так и не нашел, где же я слово «всегда» использовал в статье)
Но я обязательно учту ваши комментарии на будущее =)
Я просто настоятельно рекомендую посмотреть Censys, Fofa или Shodan и лицезреть текущее положение IoT во всем мире) Какие порты открыты, что торчит наружу…
А еще посмотреть на теневых форумах, как много ботнетов основы на IoT)
Вы путаете теплое с мягким
Про NGFW был пример в рамках транспорта малвари. С IoT этот кейс не связан никак! Автор описанной малвари сделал транспорт через DNS Header сплайсинг и ответ получал в виде 16 байт IPv6. И да, эта малварь часто использовалась для подлома IoT в качестве пейлоада. Но вот именно транспорт использовался исключительно для байпасса решений защиты. Чтобы как раз инжект байтов не был распознан сигнатуркой, а тайм интеррапты там были для того чтобы профилирование и эвристика не триггеррнули.
Только и всего. Это две разные части статьи. Две разные стадии атак чейна.
IoT далеко НЕ ВСЕГДА в общедоступной сети.
Но здесь речь именно про те случаи, когда они в паблике. И если просмотреть реконом данные - то можно увидеть, что таких устройств тьма-тьмущая.
Когда вышла CVE на SSH демона на Erlang, использующаяся на фирмвари Cisco, более 15 000 устройств показывал шодан с уязвимой версией и еще больше выдали fofa/censys.
Это я к тому, что сейчас довольного много IoT наружу то торчит.
Что же касается комментария про облако - ну далеко не все в облаке обитают. И далеко не все устройства для такого предназначены. У меня вот L3 коммутатор дома, увы и ах, MikroTik Cloud Switch, а не в облаке! Ах печаль то какая =)
И еще раз - торчащие наружу вебадминки и прочее - миссконфиг и недосмотр. И таких сейчас ой как много.
А здесь как раз таки история про то, что далеко не все закрывают web, ssh с внешних сетей. То есть торчит веб-морда наружу, торчит ssh, а порой и telnet, webdav…
Ну и далее уже пошло-поехало.
А DNS здесь - сугубо как real case с теневого форума, реальный семпл малвари, который ставился блэчерами на IoT и далее уже байпассил потенциальные NGFW, чтобы те не увидели реверс-коннекта.
Туннель через GitHub - довольно классная затея, однако, уже всем давно известная =)
Есть множество интересных способов эксфильтрации данных через сервисы Gmail, Google Drive/Docs, Telegram, SoundCloud, Discord или же протоколы по типу NTP, SNMP, SSH... Но про эти техники написано множество постов и статей (В особенности на китайских форумах).
В этой статье я лишь хотел подсветить интересные, необычные и забавные способы передачи трафика, которые работают и о которых не так много информации на просторах интернета.