Interesante artículo que nos explican como mitigar los ataques que puedan convertir nuestros routers, en un potencial foco de envío masivo de DoS.
Traducción Google:
Con más hogares que funcionan los dispositivos inteligentes que tienen acceso a internet, el router suele ser su único guardián. Y si un usuario final tiene un combo de ordenador portátil / de escritorio y el router, o una mezcla de otros dispositivos conectados a la red, los riesgos de seguridad son los mismos. Sobre la base de nuestra investigación, los routers domésticos han sido más susceptibles a cross-site scripting ( XSS ) y PHP inyección de código arbitrario ataques, además de estar involucrados en la realización de amplificación de DNS ataques.
Un dispositivo inteligente, pero no segura la conexión a Internet es mucho como invitar a los clientes maliciosos-curiosos-y muchas veces en su casa. La colocación de cerraduras básicos en la puerta de entrada, simplemente no se corte. Los malos, dada su reciente incursión en las redes domésticas, siempre van a buscar maneras de romper las puertas abiertas. Lo que es peor, de que pueda infectar estos dispositivos y los convierten en zombis que se pueden pedir a hacer la voluntad de los delincuentes ‘, como se ejemplifica por los recientes ataques contra proveedor de DNS Dyn y Brian Krebs , y una inyección de comandos vulnerabilidad encontrado en múltiples routers Netgear.
Puertas traseras, ELF, y «The Future»
routers y dispositivos de Internet de las Cosas (IOT) se suelen ejecutar en Linux dado (OS) la popularidad del sistema operativo y la rentabilidad. Al tomar ventaja de la portabilidad también de Linux, el malware escrito para plataformas x86 se puede convertir en de (por lo general ARM o Armel) un router en casa, con pocos o ningún cambio en el código fuente.
Routers domésticos también pueden verse afectadas con aplicaciones maliciosas, guiones y binarios ELF. BASHLITE (detectado por Trend Micro como familia ELF_BASHLITE), por ejemplo, se utiliza en un (DDoS) enorme ataque distribuido de denegación de servicio en 2014, y recientemente labrado una red de bots DDoS mediante la infección de dispositivos IO, en su mayoría DVR en Brasil, Colombia, y Taiwán. También pueden estar infectados con puertas traseras ocultas dirigidas a ARM, Intel x86 y x86-64 compatibles y arquitecturas. Esto incluye el anillo 3 rootkits tales como Umbreon y vlany , que tomó prestado características de otro conocido rootkit Linux-focalización, Jynx2.
Figura 1. Instalación extracto de la escritura de un rootkit Linux
Figura 2. El código de ejemplo de vlany, un rootkit ring3 que se dirige a sistemas ARM
Mirai (japonés para «el futuro» y se detectó como la familia ELF_MIRAI) estaba en una clase por sí mismo, no a causa de su complejidad (que utiliza una lista predefinida de credenciales por defecto). Su código fuente fue liberado en un foro de la piratería, convirtiéndolo en un programa malicioso de código abierto ampliamente utilizado y modificado para ser más potente. Se emplearon variantes del mismo a zombify routers TalkTalk , y golpear los sitios de alto perfil fuera de línea como Netflix, Reddit, Twitter y Airbnb. También causó la interrupción del servicio a los clientes cuando una red de bots Mirai atacado 900.000 routers domésticos prestados por Deutsche Tekekom.
Figura 3. credenciales del router por defecto utilizado por Mirai
Figura 4. Mirai evita IPs de escaneo de redes privadas y ciertas organizaciones.
Notables eventos de seguridad activadas en redes domésticas
Para simplificar la forma en las redes domésticas se pueden asegurar aún más, hemos profundizado en ellos y los ataques que suelen enfrentarse, junto con los dispositivos y aplicaciones frecuentemente utilizado con el fin de hacerse un hueco en la red sin cubrir. Una conclusión clave: estos dispositivos se convirtieron fácilmente en zombies. Nuestra investigación de la IO / telemetría mostró que dentro de los tres primeros trimestres de 2016, las normas de seguridad y los hechos, determinó que la mayoría eran:
- Cross-site scripting (XSS) intentos
- ataques de amplificación de DNS
- inyección de código arbitrario PHP
- la minería Bitcoin y litecoin
- Servicios de Internet Information Server (IIS) de ejecución remota de código (CVE-2015-1635)
- ofuscación de JavaScript
- ejecución remota de código WScriptl
- Android ataque de memoria intermedia de libstagefright
10 reglas desencadenan | Los aparatos de casa son atacantes |
1130172 Amp DNS | 100% |
1054846 XSS-8 | 100% |
1130593 IIS HTTP.sys | 100% |
1056167 XSS-12 | 98.01% |
1050015 XSS-34 | 97.95% |
1055106 PHP Código inj | 96.57% |
1059684 Bitcoin | 95.62% |
1056687 Javascript OSPF-5 | 93.45% |
1110895 WScript.shell | 89.73% |
1132263 Android tx3g BO | 17,57% |
Tabla 1. Principales reglas que se activan tras la Q1-Q3 de 2016
El inusualmente alto número de eventos de seguridad activadas puede indicar que la mayoría de los atacantes fueron comprometidos enrutadores domésticos controlados por los hackers. En cuanto a la ubicación, la mayoría fueron provocados en los EE.UU. (más de cinco veces más que en China), Corea del Sur, Canadá y Rusia. El Reino Unido, Alemania, Holanda, Hong Kong, Suecia, Singapur, Australia, España, Suiza y Austria completaron los primeros países con el mayor número de ataques de router.
Figura 5. Los países con el mayor número de ataques router (Q1-Q3 2016)
Sin embargo, Corea del Sur tuvo el mayor número promedio de ataques por router. En el tercer trimestre, por ejemplo, Corea del Sur tuvo el mayor número de ataques y el número promedio más alto de eventos de seguridad puestas en marcha de las redes domésticas (150, frente a los US de 31). Esto puede ser una indicación de la frecuencia de escala de dispositivos domésticos de ser convertido en zombis, junto con otras actividades en el país maliciosos.
Entre estas reglas disparadas, tres eventos de seguridad se destacaron por su consistencia en nuestra investigación y relevancia en panorama de amenazas de hoy en día: los ataques de amplificación de DNS, explotando vulnerabilidades en IIS y minería Bitcoin actividades.
Los ataques de DNS Amplification
Ataques de amplificación de DNS, un ataque DDoS basados en la reflexión, se basan en el uso de resolución de DNS abiertos y accesibles públicamente para abrumar el sistema de la víctima con el tráfico de respuesta DNS. Empresa de alojamiento OVH es el último receptor de DDoS registrar los atentados que emplean esta técnica, uno de los cuales alcanzó un máximo de casi un terabyte de tráfico. Estos ataques estaban vinculados a anular la seguridad y zombified dispositivos IO, que comprende los routers infectados por Mirai, DVR y cámaras web.
Nuestra investigación reveló que en todos los casos (100%), donde se activó DNS amplificación, dispositivos domésticos eran los atacantes; Los servidores DNS y servidores benignos o anfitriones eran las víctimas. El ataque se llevó a cabo dentro a fuera: una cantidad significativa de dispositivos domésticos fueron comprometidos sin el permiso de sus propietarios, y programado para atacar a otras redes. Synology NAS (almacenamiento conectado a red) dispositivos desencadenó la mitad de todos los eventos de seguridad de amplificación de DNS observados, con un promedio de 853 eventos por dispositivo NAS-dos veces más alto que otros.
Eventos | dispositivos | Promedio de eventos por dispositivo | |
Synology NAS | 368.351 | 432 | 853 |
Desconocido | 198193 | 513 | 386 |
ventanas | 111.618 | 351 | 318 |
Macintosh | 51.071 | 272 | 188 |
Ubuntu 9-10 | 24669 | 144 | 172 |
Tabla 2. sistemas operativos de dispositivos que activan eventos de amplificación de DNS observada
La vulnerabilidad de IIS ( CVE-2015-1635 )
Tanto utilizado por empresas y usuarios domésticos, IIS es un servidor web extensible desarrollado por Microsoft para su uso con la familia de Windows NT, el apoyo a HTTP, HTTPS, FTP, FTPS, SMTP y NTTP. Nuestra investigación reveló que las vulnerabilidades de IIS, en particular CVE-2015-1635 , fueron explotadas para comprometer la red. CVE-2015-1635 es una vulnerabilidad de ejecución remota de código en el rango de parámetro de cabecera HTTP.sys, por lo general se utiliza para la transferencia de archivo de página web. Aprovechando esta vulnerabilidad permitió a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio a través de peticiones HTTP bien elaborados. Ataques que aprovechan CVE-2015-1635 se dirigieron principalmente a los dispositivos de Windows.
Figura 6. servidor IIS estrellarse (en Windows 7) después de que datos maliciosos / carga útil se envía correctamente
Eventos de seguridad | |
basada en sistema operativo de Windows | 57602 |
windows 7 | 29806 |
windows 8 | 11.205 |
Windows XP | 1.822 |
Macintosh | 1.335 |
Tabla 3. Los sistemas operativos de dispositivos que atacan a los servidores a través de la vulnerabilidad de IIS explotan
Minería Bitcoin
Bitcoin la minería, donde se utilizan técnicas de cifrado para generar las divisas en las necesidades digitales extensa potencia de cálculo. Un router en casa, aunque lo suficientemente rápido como para procesar datos de la red, tiene recursos limitados. Los desarrolladores de malware y botnets operadores infectan una malla considerable de víctimas para compensar esto.
actividades mineras Bitcoin se desencadenaron a partir de los sistemas operativos tradicionales (principalmente Windows), así como los dispositivos inteligentes, tales como cámaras IP y routers. Basado en el tráfico de red observada, la minería Bitcoin, aunque legal en la mayoría de los países puede implicar un compromiso del sistema, especialmente si se lleva a cabo sin el conocimiento o consentimiento del usuario, el cual era el caso típico de los dispositivos conectados.
OS dispositivo / Tipo | Eventos de seguridad |
basada en sistema operativo de Windows | 56231 |
windows 8 | 28898 |
windows 7 | 27.857 |
Router Xiaomi | 17,466 |
D-Link IPCam | 6,843 |
Tabla 4. Los dispositivos que también formaban parte de un zombi ejército Bitcoin-minera
Mitigación
Seguridad de la red en casa es tan importante como la salvaguarda del perímetro de la empresa, como dispositivos para el hogar comprometidas pueden convertirse en cómplices de las amenazas que se dirigen a las organizaciones y sus activos de la empresa. Una red doméstica vulnerables puede afectar negativamente no sólo a los propietarios y proveedores de Internet, sino también a los dispositivos conectados a ella y los datos personales almacenados en ellas. Mientras que los fabricantes de equipos originales de diseño y desempeñan importantes papeles en la obtención de estos dispositivos, los usuarios pueden reducir los riesgos de convertir sus routers domésticos en zombies mediante la práctica digital de la seguridad de higiene tales como:
- El uso de dispositivos que van más allá de la funcionalidad y facilidad de uso, con la seguridad y la privacidad, ya que los puntos de venta
- Cambio de la configuración predeterminada del dispositivo tales como credenciales para acceder al sistema (es decir, el router SSID, nombre de usuario y contraseña) para que sean menos susceptibles a accesos no autorizados
- Regularmente comprobar la configuración de DNS del router para ver si han sido alterados (comprobando la dirección IP de los servidores DNS ‘el router es el reenvío de consultas a)
- El cifrado de las conexiones inalámbricas (Wi-Fi) para frustrar los intrusos y piggybackers red
- Mantener el software y el firmware arriba-hasta la fecha para evitar el aprovechamiento de vulnerabilidades
- Activación de servidor de seguridad incorporado en el router
- Configuración del router para ser más resistente a los ataques (es decir, el cambio de direcciones de subred, utilizando direcciones IP aleatorias en el router, la aplicación de SSL)
- El uso de las extensiones del navegador que puede ayudar a prevenir ataques de script web (es decir, negar el acceso a la dirección IP del router)
- herramientas que comprueban si el router está expuesto libremente a Internet (es decir, la exploración de puertos) que emplea
- Usando sólo las aplicaciones legítimas a través de las tiendas de aplicaciones oficiales / de confianza, si los dispositivos domésticos de la IO están conectados a un dispositivo móvil
- Desactivación de componentes innecesarios en el router (a menos que sea necesario de otro modo), como Universal Plug and Play (UPnP), WPS, y las características de administración remota, tales como Telnet y acceso a la página web de administración a través de la WAN, que pueden ser aprovechados por el malware, cuando la creación de redes de bots
- Reconsiderar marca blanca o routers utilizados, que puede ser maliciosamente / configurado incorrectamente o incluso vienen con puertas traseras
- herramientas que añaden una capa de seguridad en el dispositivo, tales como los sistemas de prevención de intrusiones en el despliegue de la puerta de enlace
Latest posts by Jose Miguel (see all)
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
- Curso Básico de Ciberseguridad. Módulo 2 - 23 noviembre, 2024
- Episodio 6: Implementar la seguridad en conexiones remotas. - 22 noviembre, 2024