iT邦幫忙

1

求救! 區網整個中毒,連監視器都在往外面丟垃圾,我該怎麼開始善後

  • 分享至 

  • xImage

0605更新
早上跟我們家的廠商討論了一下
是大家說的內部攻擊,POLICY的部分目前算是有補上一些,影響範圍沒有再擴大

監視器的部分目前把對外都鎖起來了,但它內部還是在攻擊MAIL SERVER

目前我們這樣看是SERVER更新導致這次的攻擊事情

但因為我們也沒有直接證據...所以只能要求廠商恩...

會再連絡監視器廠商把硬碟格式化+韌體更新

但想要跟大家詢問的問題是

電腦跟信箱改了密碼,修改完之後原本OK沒問題

但隔了一小段時間,這些電腦的IP還是會送怪訊號出去

想問問大家有什麼想法嗎,謝謝

-------------以下為之前的發文-------------

https://ithelp.ithome.com.tw/questions/10213131

這是我前幾天的發問

後來跟FW的工程師討論跟更新FW的POLICY

發現原來我家的設備,包含監視器、印表機都在往外面丟垃圾

我跟同事都沒有處理過這種恐怖的情形

目前看起來是PORT SCAN的攻擊,想詢問各位先進學長姐們

有沒有什麼好的處理方針,我跟同事已經燒破腦了..

目前FORTI上有抓常見的高風險IP,禁止我們家設備輸出或被連進了...

https://ithelp.ithome.com.tw/upload/images/20230602/20077521okVteFUUDy.png

看更多先前的討論...收起先前的討論...
froce iT邦大師 1 級 ‧ 2023-06-02 14:47:57 檢舉
設備來源先離線啊
他PORT SCAN....目前看起來連監視器跟印表機都有....這樣也要隔嗎XD
192.168.1.166先斷網吧,然後再進行掃毒。
這一隻是監視器的IP....看來我只能先關掉外對內連線,然後請監視器廠商來過重灌&更新,謝謝!
你們家的監視器,是可以透過手機APP觀看監視器畫面的嗎?
沒錯,剛剛跟長官取得同意,現在發信要跟其他部門的長官報告要把外對內的連線都關掉,只剩區網裡可以遠端使用監視器了
後面把區網清乾淨再來弄監視器主機
望空 iT邦新手 1 級 ‧ 2023-06-02 16:24:56 檢舉
1. .1.166這台設備拔掉
2. 找專業團隊協助進行公司內網IP掃描,看是不是還有其他設備在發送不正常的封包及流量
3. 準備開始寫資安事件報告...
這是ARP 內部攻擊事件,攻擊的都是內部IP,而且有一個固定的跳板IP,個人解讀是這樣
@望空 事件結束後會寫...
@窮嘶發發發 ARP的攻擊跟我們家的情況不太一樣~~~但我們家內部看起來是有被當跳板,只是不知道是哪台/哪幾台 在跳
如果是我,我會先查 169 開頭這各IP,這各IP 是 APIPA 的網段,先查他的 MAC,看一下 他到底是哪一台跑出來的,基本懷疑就是 166 這台,接下來,查 166 這台開了那些監聽服務,這些監聽服務的網路封包傳遞狀況,先隔離 監視器 跟 內部網路,讓這兩個網段只能透過FW 連接,假如 監視主機有對外開PORT,請先關掉,IT 對資安千萬不能忽視,相關的訓練跟學習一定要跟上業界的腳步,就算跟不上,至少一年花幾百萬外包出去給優良廠商維護,你出狀況才找,都來不及,因為沒有元,就沒有責任,你只有痛一次才會想到用足夠的預算避免這各狀況
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0

這個是外部IP ???

https://ithelp.ithome.com.tw/upload/images/20230602/20001416JohYsNaomb.jpg

看更多先前的回應...收起先前的回應...

沒錯!
https://github.com/firehol
我找MA的工程師,他用這個當外部來源信任名單每分鐘更新表列名單,丟到FORTI上面,可以偵測我家中毒的設備要 進來\出去 哪裡,名單就DROP掉

192.168.0.0/16 169.254.0.0/16都不是對外IP
你確定這個MA工程師是這樣跟你說的?
違反政策的內容是什麼?

他們都是VIP
我很確定的,因為192.168.0.0的國籍不會變來變去...

froce iT邦大師 1 級 ‧ 2023-06-02 16:16:08 檢舉

192.168.0.0/16 和 169.254.0.0/16 是保留IP...外網不可能出現。

errrrr...如果你認定192.168.0.0/16是外網,這說明你還很菜,建議你找專業的處理,免得越弄越糟

恩....目前有打算整組砍掉重練....

spplkksyy iT邦新手 1 級 ‧ 2023-06-02 19:27:19 檢舉

弔詭的是往WAN1丟,路由有沒有問題呀...

lan1 to dangours-->dangours是你們自己設的, 怎麼會不知道.
是那一條政策設定, 所以產生違反政策, 看看設定是什麼.
到底路由是怎麼走的,怎麼會把192.168.0.0/16跟169.254.0.0/16往防火牆丟

我也不知道到底為什麼會往WAN1丟...

2
sd3388
iT邦好手 1 級 ‧ 2023-06-02 20:27:15

先不檢討你跟FW廠商的資安技術吧
按你說的先來一項一項解

1.我家的設備,包含監視器、印表機都在往外面丟垃圾
解:上述的東東,應該都不需要聯外吧,就算是監視器也應該是外面聯進來,不是自己連出去,所以直接將這些設備往外的連線(含各個介面方向)都直接封鎖吧

2.我跟同事都沒有處理過這種恐怖的情形
解:基本在於網路資安觀念不正確,再者未建立適當的外援機制或應變辦法,任誰都沒法避免資安危機發生的一天,但是天真的以為事情不會發生則不可取

3.目前看起來是PORT SCAN的攻擊
解:不知你是由何判斷是port scan,你有開防火牆的IPS防禦嗎? 還是FW廠商跟你說是就是,我看就完全不是,頂多IP scan還沾得上邊,然後都會去找特定地方較多,也不像scan的情境

看你說要把外對內的連線都關了,估計也不會解決危機,因為你總停留在攻擊都是外來者的觀念上,貼圖明明就是監視器已經成為肉雞,攻擊者都在自己家裡,打下一台又是一台,然後用這些設備聯外再下載病毒,你算好命還沒被發動綁架,等下電腦、主機全都被加密就好玩了。

2
hsiang11
iT邦好手 1 級 ‧ 2023-06-04 23:24:03

說真的能把fortigate管成這樣你們真的要反省
一般來說 監視器這一塊廠商幾乎都沒有在維護的
都是重大的資安漏洞
又因為很多公司都喜歡直接開放對外連線
外網方便開畫面,駭客也方便看你們
久了就很容易被打下來成為跳板了

先把監視器印表機先搞好
再來思考你們fortigate有甚麼還沒設定好的
該買的UTM授權也要補上

GGU.IN iT邦新手 4 級 ‧ 2023-06-05 13:25:19 檢舉

監視器要對外我都多申請1組IP在外面爛

0
GJ
iT邦好手 1 級 ‧ 2023-06-05 10:23:53

先把166這台先關機,然後把你所謂的對外IP不管電腦還是設備掃個毒或先停用
電腦異常的就重灌
接者好好釐清你的防火牆原則與路由,或找SI廠商協助

我要發表回答

立即登入回答