绿盟 IoT机顶盒恶意软件应急处置手册在线下载,免费下载

m o c . 5 IoT 机顶盒恶意软件应急处置手册 ■ 文档编号 ■ 版本编号 b u ■ 密级 v1.0 ■ 日期 h t i g 2017.10.13 © 2017 绿盟科技 IoT 机顶盒恶意软件应急处置手册目录一. 事件背景 ............................................................................................................................................... 1 二. 准备工作 ............................................................................................................................................... 1 2.1 相关工具 ........................................................................................................................................... 1 三. 风险检测 ............................................................................................................................................... 1 3.1 基于网络检测 ................................................................................................................................... 1 3.1.1 检测向 23 端口的发包频率 ...................................................................................................... 2 m o c . 5 3.1.2 检查 CC 服务器 ......................................................................................................................... 3 四. 应急处置指南 ....................................................................................................................................... 3 4.1 网络层防护 ....................................................................................................................................... 3 4.1.1 IPS 防护 ....................................................................................................................................... 3 4.1.2 iptables 访问控制 ....................................................................................................................... 8 b u 4.1.3 DDoS 防护。 ............................................................................................................................... 8 4.2 终端防护 ........................................................................................................................................... 8 4.2.1 关闭 telnet 服务 ........................................................................................................................ 8 h t i g 4.2.2 修改 telnet 默认端口号 ............................................................................................................ 8 4.2.3 修改初始口令............................................................................................................................ 9 4.2.4 权限设置.................................................................................................................................... 9 4.2.5 固件备份.................................................................................................................................... 9 4.3 持续监测 ........................................................................................................................................... 9 4.3.1 主动监测.................................................................................................................................... 9 4.3.2 被动持续监测............................................................................................................................ 9 五. 样本行为分析 ..................................................................................................................................... 10 5.1 本地行为 ......................................................................................................................................... 10 5.2 网络行为 ......................................................................................................................................... 10 附录 A FAQ ............................................................................................................................................ 10 © 2017 绿盟科技 -1- 密级：商业机密 IoT 机顶盒恶意软件应急处置手册一. 事件背景绿盟科技 DDoS 态势感知平台监控到某客户的网络带宽流量存在异常情况，经分析确认为对外发起 DDOS 攻击导致，攻击类型多样，包括 TCP Flood、HTTP Flood、DNS Flood 等。通过对攻击源 IP 进行溯源，发现攻击来自普通用户终端设备，包括数字电视机顶盒及 EOC 终端设备，并涉及多家设备开发厂商。 m o c . 5 二. 准备工作 b u 2.1 相关工具为判断网络是否受到 IoT 机顶盒恶意软件影响，且有针对性防护，绿盟科技提供检测及防 ti h 护方案，下表为相关检测和防护工具。边界防护类防御类检测类 g 绿盟网络入侵防护/检测系统（IPS/IDS）绿盟抗拒绝服务系统（ADS） Wireshark 三. 风险检测针对恶意软件在主机层面和网络层面的特征，可通过网络进行检测，来确定在当前网络环境中是否存在威胁。 3.1 基于网络检测若广电网络中存在被感染设备，则设备会向大量外网 ip 的 23 端口发送 tcp 请求，同时会与 CC 服务器 185.47.62.133:8716 建立连接。因此，可在广电网络中对流量抓取和分析，判断是否受到恶意软件影响。 © 2017 绿盟科技 -1- 密级：商业机密 IoT 机顶盒恶意软件应急处置手册 3.1.1 检测向 23 端口的发包频率恶意软件具有全网扫描 telnet 弱口令的功能，如果对网络进行抓包分析，可以看到在网络通信数据流中充斥着大