Perebor & Varek
Perebor Perebor
Varek Varek
Varek Varek
Ну что, Перебор, видел новые сигнатуры нулевого дня в логах корпоративного файрвола? Какая-то странная закономерность прослеживается.
Perebor Perebor
Могу сейчас логи вытащить. Как выглядит эта закономерность – частота, IP-адрес источника, размер полезной нагрузки? Может, это просто циклический процесс, а может, более изощрённое полиморфное изменение. Давай разберёмся пошагово.
Varek Varek
Слушай, первое: все IP-адреса из одной подсети /24, но они меняются каждые 30 секунд – всего три адреса. Запросы летят со скоростью примерно 200 в минуту, намного больше, чем обычно для этого порта. Размер полезной нагрузки начинается с 512 байт, потом падает до 256, а затем снова до 512 – всё по четкому графику. Хэши сигнатур все уникальные, так что это полиморфный твик, но тайминги – железные. Этот цикл – наша точка входа, следи за этой подсетью /24 и блокируй порт, когда начнется всплеск на 200 запросов в минуту.
Perebor Perebor
Похоже на скоординированную бот-сеть – один и тот же /24, фиксированный интервал, всплески трафика. Заблокируй порт и отфильтруй этот трафик. Я выставлю правило ограничения скорости и понаблюдаю за всплеском в 200 пакетов в минуту. Если продолжится – изолируй подсеть.
Varek Varek
Отлично. Держи замок крепко, пока не убедишься, что ботнет отключен. Если трафик снова поднимется – изолируй /24 и блокируй любые новые подключения. Будь начеку, они будут подстраиваться.
Perebor Perebor
Отлично, сейчас закрою доступ и буду следить за сетью. Если снова появится эта фигня, поставлю карантин и заблокирую весь новый трафик. Будь на связи.