安全研究

研究报告
IoT机顶盒恶意软件应急处置手册

事件背景

绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认为对外发起DDOS攻击导致,攻击类型多样,包括TCP Flood、HTTP Flood、DNS Flood等。通过对攻击源IP进行溯源,发现攻击来自普通用户终端设备,包括数字电视机顶盒及EOC终端设备,并涉及多家设备开发厂商。

准备工作

· 相关工具

为判断网络是否受到IoT机顶盒恶意软件影响,且有针对性防护,绿盟科技提供检测及防护方案,下表为相关检测和防护工具。

边界防护类

绿盟网络入侵防护/检测系统(IPS/IDS)

防御类

绿盟抗拒绝服务系统(ADS)

检测类

Wireshark

风险检测

针对恶意软件在主机层面和网络层面的特征,可通过网络进行检测,来确定在当前网络环境中是否存在威胁。

·  基于网络检测

若广电网络中存在被感染设备,则设备会向大量外网ip的23端口发送tcp请求,同时会与CC服务器185.47.62.133:8716建立连接。因此,可在广电网络中对流量抓取和分析,判断是否受到恶意软件影响。

检测向23端口的发包频率

恶意软件具有全网扫描telnet弱口令的功能,如果对网络进行抓包分析,可以看到在网络通信数据流中充斥着大量发往目的端口23的tcp数据包。

使用wireshark打开捕获到的数据包进行分析,在菜单栏中依次点击“统计”-“会话”(Statistics-Conversations)。




可以看到在整个网络数据通信数据中,在一段时间内,发往目的端口23tcp数据包占比非常高。



完整内容请下载报告

《IoT机顶盒恶意软件应急处置手册》


浏览次数:

关 闭