Název
Malware v jediném zařízení zákazníka málem zničil reputaci celého prefixu, což mohlo způsobit problémy všem zákazníkům ISP.
Situace
Operátor poskytoval internetové připojení jak firemním, tak domácím zákazníkům. Některé domácnosti si připlatili za veřejnou IP adresu – například kvůli kamerovému systému, který chtěly kontrolovat z práce. Jeden z těchto domácích modemů/routerů byl infikován malwarem. Následně bylo zařízení zařazeno do botnetu.
V tomto konkrétním botnetu byl aktuální úkol: prohledávat internetová zařízení s cílem najít otevřené Telnet porty a poté je infikovat novou sadou útoků využívajících známé zranitelnosti.
Výzva
Takové útočné zařízení se velmi rychle ocitne na veřejných blacklistech. Zpočátku je ovlivněno pouze ono konkrétní zařízení s jednou IP adresou. Zatím vše vypadá pod kontrolou.
Později ale může být na blacklist zařazen celý IP prefix (v tomto případě /22). To může vést k tomu, že peering partneři začnou tlačit na operátora autonomního systému (AS), aby problém co nejdříve vyřešil.
V tu chvíli způsobí drobná anomálie na jednom modemu obrovské škody. Práce, která by se dala udělat včas, se po týdnu změní v časově náročný zásah.
Takže je jasné, že musíme takové anomálie včas odhalit, že?
Ne tak rychle. Takové anomálie běžně zůstanou bez povšimnutí, pokud ISP spoléhá pouze na SNMP (např. Zabbix, Nagios). Správci sítě je nezachytí. Routery o nich nevědí, protože nezatěžují hardware a nezpůsobují velké objemy přenesených dat.
Co dál?
Řešení
V první řadě by měl operátor používat analýzu síťového provozu založenou na tocích (flow), aby mohl podobné anomálie zachytit.
Naštěstí měl ISP v tomto případě potřebná opatření:
- Export netflow dat z hraničních routerů.
- Data se ukládala do centrálního kolektoru se softwarem FLOWCUTTER.
- FLOWCUTTER umožňuje každému správci provést rychlou drill-down analýzu netflow a dalších zdrojů dat.
Rychlá kontrola na přehled (Home dashboard) ve FLOWCUTTERu ukázal změnu trendu v počtu komunikujících IP párů (unikátních párů IP adresa zdroj–cíl).
Podrobná analýza odhalila, že anomálie pochází z jedné konkrétní IP adresy – domácí zákazník s veřejnou IP.
Toto koncové zařízení posílalo miliony Telnet paketů (port 23) každých pár minut do celého internetu.
Za několik málo hodin se tato IP adresa objevila na blacklistech IP reputace.
Výsledek
Co když administrátor nechce každý den kontrolovat FLOWCUTTER ručně?
FLOWCUTTER pomáhá dvěma způsoby:
- Umožňuje nastavit „out-of-the-box“ detekci různých síťových anomálií – včetně Telnetu.
- Obohacuje netflow data o reputaci IP adres, sleduje a upozorňuje, pokud se některá IP adresa dostane na blacklist.
Zdroje
-
Analýza netflow v Grafaně
-
SNMP vs provozní toková telemetrie
-
Reputace IP adres
-
Detekce anomálií na základě provozních toků
Závěr
ISP včas odhalil anomálii způsobenou Telnet provozem a zabránil tak řetězové reakci negativních důsledků.
Nesprávná konfigurace nebo infikovaná zařízení mohou poškodit reputaci prefixu nebo celého AS operátora.
Při řešení incidentů na základě provozních toků lze tyto anomálie včas odhalit a opravit ještě dříve, než způsobí škody v síti.
Do budoucna ISP využívá FLOWCUTTER nejen pro monitorování a upozorňování na síťové anomálie, ale také k pravidelnému sledování reputace celého svého IP rozsahu – aby byl příště varován ještě dříve.
