Борьба с эпидемией ботнетов

Как выявлять вражеских ботов в своих умных устройствах

Ботнеты могут как нести прямую опасность для локальной сети, так и выступать составной частью атаки на какие-либо сервисы. Как эти маленькие армии используют трафик и сеть, создают плацдармы внутри систем для атаки на устройства, читателям RSpectr рассказал специалист, отвечающий за надежность, масштабируемость и бесперебойную работу IT-систем в компании Eagle Eye Networks, Александр Шуляк.

СЕТЕВОЙ ОРГАНИЗМ ДЛЯ ВИРУСА

Прежде чем рассмотреть способы проникновения ботнетов в современные сети, методы их обнаружения и виды защиты, стоит обратиться к статистике. Согласно международным исследованиям, в 2021 году было продано почти 900 млн умных устройств. К 2026 году ожидается ежегодная реализация по всему миру уже 1,4 млрд интеллектуальных гаджетов для дома.

В современном мире в любых сетях – домашних или корпоративных – существует два периметра: внешний и внутренний. Внешний периметр, по сути, представлен вашим маршрутизатором или любой другой точкой выхода во внешний интернет. Обычно это не является основной уязвимостью сети – по умолчанию маршрутизаторы не имеют открытых портов и не пропускают входящий трафик внутрь сети. Таким образом, главной уязвимостью и условным врагом становятся внутренние устройства сети. Единственным путем попасть в ее внутренний периметр является инфицирование вирусами внутренних устройств.

Для этого могут быть использованы следующие способы:

• инфицирование устройства внутри периметра путем исходящих запросов (вход на зараженный сайт, MITM-атаки, DNS-спуфинг);
• инфицирование через зараженную полезную нагрузку (к примеру, через прикрепленный файл);
• инфицирование удаленных серверов, с которыми работают устройства внутри периметра (сервера умной техники, обновлений сетевого оборудования).

В редких случаях во внутреннем периметре содержится устройство, доступное по изначальной задумке для внешних пользователей (например, веб-сервер), однако в данной ситуации изоляция и безопасность публичного хоста должна быть первоочередной задачей.

Зараженными устройствами в сети и соучастниками ботнетов в основном становятся устройства умного дома: в силу того, что они и так находятся во внутреннем периметре сети и функционал является более важным для бизнеса. Аспекты безопасности обычно игнорируются или откладываются в долгий ящик. Вследствие этого устройства имеют низкий уровень безопасности, часто без обновлений защиты: со старыми и хорошо известными уязвимостями, со стандартными логинами и паролями или того хуже – со стандартными ключами доступа. Реже этими устройствами становятся сетевые системы вроде хранилищ NAS, маршрутизаторов игровых консолей.

Заражение подобных устройств также должно производиться либо путем атаки на их сервер, либо изнутри сети. В случае заражения изнутри это чаще всего осуществляется через компьютеры пользователей, однако они не являются конечной целью, поскольку их сложнее контролировать в длительной перспективе в силу наличия антивирусов и других мер безопасности. К тому же они не работают 24/7 в отличие от устройств, подобных устройствам умного дома.

Таким образом, главной стратегией мониторинга и защиты от внутренних ботнетов является изоляция и анализ трафика

ВЫЯВЛЕНИЕ БОТОВ

Основной стратегией мониторинга является анализ объемов и точек назначения исходящего трафика с предполагаемых устройств.

К примеру, умный чайник должен общаться со своими серверами, через которые идут управляющие команды, и ни с кем больше. Обычно производители публикуют подсети своих серверов либо их можно запросить через техническую поддержку. Таким способом можно анализировать трафик, который идет на серверы, и обнаруживать, когда существует дополнительный трафик на неизвестные хосты. Обычным смыслом больших ботнетов являются DDoS-атаки в формате перегрузки запросами, то есть устройство будет постоянно спамить трафиком на некорпоративные серверы. Такой трафик легко обнаружить и понять, что устройство могло быть инфицированным. Однако существуют и другие задачи, которые передают подобным ботнетам. К примеру, спам-обзвоны телефонных баз, сканирование больших подсетей на предмет открытых портов и рабочих сервисов, перебор паролей на какой-то хост (брутфорс) или просто ретрансляторы трафика для сокрытия злоумышленника.

Другим вариантом мониторинга, или получения стандартных блоков адресов, является проверка DNS-запросов

Для этого можно использовать внутренний DNS-сервер и снимать с него статистику по запросам от устройств. В основном все запросы должны относиться к корпоративным доменам компании. Если же устройство начинает спамить запросы на случайные хосты, это может быть подозрительным.

Еще одним характерным поведением для зараженных устройств может являться постоянное сканирование портов гаджетов внутри сети для поиска стандартных уязвимостей. Все эти паттерны поведения легко обнаруживаются при помощи мониторинга трафика на маршрутизаторе при помощи SNMP-протоколов, а также DNS-мониторинга.

Основным способом очистки зараженных устройств является сброс до заводских настроек. Однако это часто не помогает, поскольку зловред может изменить основные настройки системы и стать ее частью. Более надежный вариант – полная перепрошивка устройства, поскольку в этом случае зачастую полностью очищается память.

ВЫСТРАИВАЕМ ОБОРОНУ

Основная мера защиты, как и говорилось ранее, – это разделение сети на сегменты для изоляции устройств. Все пользовательские устройства находятся в одной подсети, все умные – в другой, дополнительные сетевые системы – в третьей. К примеру, это можно осуществить при помощи VLAN (виртуальной локальной компьютерной сети) и выделить подключенные устройства в изолированные сегменты сети. В случае необходимости коммуникации между сегментами рекомендуется разрешать минимально необходимые. К примеру, если у вас есть сетевое хранилище NAS – разрешите коммуникацию только по порту протокола, по которому вы к нему подключаетесь, и только из пользовательского сегмента сети.

Такая изоляция может вызывать ощутимые неудобства в повседневной жизни, поскольку будет блокировать работу протоколов, построенных на автоматическом обнаружении, вроде Chromecast/Apple AirPlay и тому подобных. Да, это ограничение можно обойти, разрешив проксирование ARP-запросов, но тогда вы фактически соедините все сегменты сети в единый и изоляция потеряет всякий смысл.

При этом вы должны продолжать мониторинг сегментов сети и устройств в них, поскольку все еще остаются варианты инфицирования устройств во внутреннем периметре и вы хотите узнавать о них как можно раньше, для того чтобы очистить их.

Таким образом, можно сделать вывод, что основной способ защиты своих устройств – это поддержание гигиены сети и разрешение минимально необходимых коммуникаций даже внутри ее. Плюс мониторинг делает свое дело и позволяет достаточно быстро понять, что какие-то из устройств были заражены. Подобные манипуляции практически необходимы в корпоративных сетях, где безопасность является одним из важнейших приоритетов. С другой стороны, для домашних сетей подобное разграничение доставит ощутимое количество неудобств и начального объема работы. Так что в данном случае проще обойтись мониторингом, хотя к этой теме также стоит подойти ответственно.

Автор: Александр Шуляк