it-swarm.com.de

Habe ich an den letzten DDoS-Angriffen auf den DNS-Dienst von Dyn teilgenommen?

Es wurde berichtet , dass der jüngste groß angelegte DDoS-Angriff, der mehrere Websites in den USA betraf, durch Hacken von 10 Millionen Geräten und deren Verwendung für den Angriff durchgeführt wurde.

Wie kann man im Allgemeinen wissen, ob seine Geräte gehackt und bei einem Angriff verwendet wurden?

74
Thomas

Nachträgliches Wissen kann etwas schwierig sein, wenn Sie Ihren Netzwerkverkehr nicht aktiv überwachen. Es gibt jedoch einige Dinge, die Sie jetzt tun können, um festzustellen, ob Sie dem Risiko ausgesetzt waren, ein Teilnehmer zu sein, und um eine zukünftige Teilnahme zu verhindern.

Wie bereits an mehreren Stellen erwähnt, haben Sie Ihr lokales Netzwerk definitiv für Risiken geöffnet, wenn Ihr WAN Router/Bridge/Kabelmodem/Firewall uPnP aktiviert hat). Sie sollten dies aktivieren aus.

Wenn Sie für Ihre verschiedenen Geräte das Standard-Administratorkennwort festgelegt haben, haben Sie sich selbst offen gelassen. Ändere das.

Stellen Sie sicher, dass die Firmware auf Ihren Geräten auf dem neuesten Stand ist, und erwarten Sie, dass in naher Zukunft weitere Updates veröffentlicht werden.

Wenn Sie Geräte haben, die nicht im Internet kommunizieren müssen, um "zu Hause anzurufen", blockieren Sie sie daran, solche Dinge zu tun. Geben Sie ihnen keine Standardroute, fügen Sie keine Firewall-Regeln usw. hinzu.

In den meisten Fällen waren CCTV (z. B. Web-Cams) die primären Geräte, die infiziert und verwendet wurden. Wenn Sie über ein solches Gerät verfügen und eine Liste bekannter Straftäter finden Sie hier (https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/) ) =, Sie könnten überlegen, etwas zu unternehmen.

38
Shackledtodesk

Dies zu identifizieren kann etwas schwierig, aber möglich sein.

  1. Identifizieren Sie die Geräte in Ihrem Netzwerk

    Dies mag trivial klingen, aber Sie werden überrascht sein, einige unerwünschte Geräte zu sehen, die Sie möglicherweise sogar vergessen haben, nachdem Sie sie an den Router angeschlossen haben. Überprüfen Sie Ihre Router-Protokolle und angeschlossenen Geräte und führen Sie sogar einen nmap-Sweep im lokalen Netzwerk durch, um alle aktiven Geräte zu finden.

  2. Identifizieren Sie die Verwaltungsschnittstellen

    Identifizieren Sie die Verwaltungsschnittstellen für alle diese Geräte. Da unser Fokus auf IoT-Geräten liegt, führen Sie diesen Schritt für Geräte wie Fernseher, Kühlschränke, IP-Kameras usw. aus.

  3. Überprüfen Sie, ob der Zugriff auf die Verwaltungsoberfläche eingeschränkt ist.

    Möglicherweise verwalten Sie Ihre IP-Kamera mithilfe einer Webanwendung, es ist jedoch wahrscheinlich, dass sie auch über eine Schnittstelle verfügt, die SSH- oder Telnet-Verbindungen akzeptiert. Identifizieren Sie diese Ports und Dienste und stellen Sie sicher, dass auf sie nicht remote zugegriffen werden kann. Stellen Sie mit anderen Worten sicher, dass die IP-Weiterleitung oder Methoden zur Umgehung von NAT) nicht aktiviert sind.

    Wenn die Geräte IPv6-fähig sind, muss eine Firewall-Einschränkung oder eine Authentifizierungsaufforderung verhindern, dass sie remote übernommen werden.

  4. Stellen Sie sicher, dass schwache Kennwörter, Standardbenutzerkonten und bekannte Hintertüren auf allen extern zugänglichen Schnittstellen deaktiviert sind.

    IP-Cams sind für diese Art von Problemen berüchtigt.

    Kurz gesagt, es gibt keine gute Möglichkeit, festzustellen, ob Sie Teil der Gruppe waren, die einen Teil des Internets heruntergefahren hat, aber es gibt immer noch Möglichkeiten, dies zu verhindern.

16
hax

Der Quellcode der Malware ist öffentlich, sodass Sie ihn lesen und versuchen können, Ihr Gerät manuell zu kompromittieren, indem Sie denselben Exploit wie die Malware verwenden. Wenn Sie erfolgreich sind, besteht eine gute Chance, dass Ihr Gerät bereits zuvor an den Angriffen teilgenommen hat.

Es ist natürlich nicht kinderleicht (die Malware wurde möglicherweise von jemandem entwickelt, der klug genug ist, um das Loch zu schließen, nachdem er die Kontrolle über das Gerät erlangt hat), aber es ist einen Versuch wert.

7
André Borie

Die Antwort ist also wahrscheinlich NEIN:

Sie haben letzten Freitag nicht an dem massiven DDoS-Angriff teilgenommen. Die kompromittierten Geräte, die als Teil des Botnetzes verwendet wurden, waren größtenteils sehr alt und ohne Sicherheitsmaßnahmen, zum Beispiel die Kameras an der Tankstelle in Ihrer Nähe (Kameras, die wahrscheinlich vor 10-15 Jahren gekauft wurden).

Lesen Sie diesen Artikel, er erklärt das gleiche, was ich gesagt habe, aber viel besser: https://www.wired.com/2016/10/internet-outage-webcam-dvr-botnet/

Einige Stücke aus dem Artikel:

Die Zombie-Webcam-Armee, die für das Chaos am Freitag verantwortlich ist, besteht stattdessen aus industriellen Überwachungskameras, wie sie in einer Arztpraxis oder Tankstelle zu finden sind, und den daran angeschlossenen Aufnahmegeräten. Ebenfalls? Sie sind nach technologischen Maßstäben größtenteils uralt.

Und:

"Die meisten davon wurden 2004 auf der ganzen Linie entwickelt", sagt Zach Wikholm, ein Forschungsentwickler der Sicherheitsfirma Flashpoint, der die Hauptursache des Angriffs verfolgt

5
KanekiDev