IoT机顶盒恶意软件应急处置手册
2017-10-13
事件背景
ylzz总站线路检测DDoS态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认为对外发起DDOS攻击导致,攻击类型多样,包括TCP Flood、HTTP Flood、DNS Flood等。通过对攻击源IP进行溯源,发现攻击来自普通用户终端设备,包括数字电视机顶盒及EOC终端设备,并涉及多家设备开发厂商。
准备工作
· 相关工具
为判断网络是否受到IoT机顶盒恶意软件影响,且有针对性防护,ylzz总站线路检测提供检测及防护方案,下表为相关检测和防护工具。
|
边界防护类 |
绿盟网络入侵防护/检测系统(IPS/IDS) |
|
防御类 |
绿盟抗拒绝服务系统(ADS) |
|
检测类 |
Wireshark |
风险检测
针对恶意软件在主机层面和网络层面的特征,可通过网络进行检测,来确定在当前网络环境中是否存在威胁。
· 基于网络检测
若广电网络中存在被感染设备,则设备会向大量外网ip的23端口发送tcp请求,同时会与CC服务器185.47.62.133:8716建立连接。因此,可在广电网络中对流量抓取和分析,判断是否受到恶意软件影响。
检测向23端口的发包频率
恶意软件具有全网扫描telnet弱口令的功能,如果对网络进行抓包分析,可以看到在网络通信数据流中充斥着大量发往目的端口23的tcp数据包。
使用wireshark打开捕获到的数据包进行分析,在菜单栏中依次点击“统计”-“会话”(Statistics-Conversations)。
可以看到在整个网络数据通信数据中,在一段时间内,发往目的端口23的tcp数据包占比非常高。
✕
