某流媒体协议应急响应事件回放

某流媒体协议应急响应事件回放

1、背景:

         2014的X月Z号,我收到公司信息安全委员会的一封邮件,说收到了一封来自老外的Email,Email里面描述到我们的传统行业设备存在一些安全问题,并在他们公司的官网上发布了相关的信息,之后我瞧了一下他们的分析报告,才刚看一小段我就已经明白一切了,理由是,在2014的X月Z-9号的时候,我们自己内部也已经发现了此漏洞,在互联网设备上已经迅速打补丁修复,我同时也考虑到代码复用的问题,当时也立马给传统行业部门的人打电话发了邮件要求处理此事,但没想到来得如此之快,事情的影响也比我们想象得复杂。

2、原因:

         设备使用的某流媒体协议存在缓冲区溢出漏洞,设备代码未对输入数据的长度进行有效性过滤导致漏洞的产生。

3、危害:

         老外在公布漏洞的同时,也公布了可进行利用的exploit,利用该exp,可针对某一款具体型号的设备执行任意代码,可获取最高权限的shell,由于互联网上有大量这样的设备,进一步可利用进行分布式的攻击,可产生巨大危害。

4、风险分析:

         处理传统行业设备比互联网设备有困难是原因的,互联网设备的整体架构如下 :

可以看到,使用互联网设备的2个基础条件是:

(1)、设备能够连接互联网。

(2)、设备必须要注册到云平台,并且和指定的账户建立绑定关系。

而传统行业设备整体架构如下:

可以看到,传统行业设备是没有平台管理的概念的,这也是由各自行业的定位决定的,互联网行业注重用户黏性,更多的是卖服务,而传统行业偏向于卖设备或者“离线”的解决方案,即把产品卖掉就算完事了,后续只是故障后维修的问题,这跟传统家电行业没区别。

传统行业设备要在互联网上使用,需要通过某种方式,将服务端口映射到公网上,然后通过APP等客户端软件直接连接设备的端口进行通信,由于没有平台,我们感知不到这种通信的存在,因此对我们来说,这跟用户在自己的局域网内使用设备没有区别。

当发生安全漏洞时,对于传统行业来说,就很难“联系”到这些设备,没办法快速地告诉用户去升级,而对于互联网设备来说,只需要通过云平台直接推送升级补丁消息到客户端即可。

 

5、应急处理措施:

5.1、短期对策(减少损失):

(1)、想尽一切可能的办法(电话、邮件等)联系到客户,启动一些可以缓解的措施,比如:如果非必须,可以将公网映射取消,如果有防火墙,可以根据exploit协助用户设置防火墙规则进行攻击流量拦截。

(2)、对于拥有自己离线平台的大客户,可以协助客户安装紧急补丁服务器,并通过离线平台向下属用户的客户端推送升级消息进行升级。

(3)、对于散落在互联网上的无法“联系”的设备,是一个头疼的问题,鄙人想到了一个以毒攻毒的方法,思路是:既然利用漏洞可以执行任意代码,而任意代码既然可以干做坏事,拿当然也就可以做好事,那么我们是不是通过这个漏洞来patch漏洞本身呢,甚至在patch后还可以帮设备查杀一下木马,进一步的,我们还可以写一个程序,自动每天检测世界范围内的新上线的有漏洞的设备,每出现一台就patch一台,可将风险降至最低。此方法在咨询阿里巴巴道哥后,也得到了认可,但存在一定的其它风险因素,还有很多细节需要处理,在此不再详述。

5.2、长期对策(预防措施):

         回头看,引发此次事件的根源仍然在于传统行业设备对安全的疏忽,在早期就没有引入安全设计、开发和测试的流程,才导致产品容易出现问题,因此,长期来说要做的东西还很多,比如让传统行业设备开始慢慢过渡到互联网平台,建立产品SDL流程等等。

时间: 2024-11-04 02:17:23

某流媒体协议应急响应事件回放的相关文章

windows应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入

Linux应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash

【应急响应】windows入侵排查思路

海峡信息白帽子id:Bypass 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 0×00 前言 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 海峡信息白帽子id:Bypass 针对常见的攻击事件,结合工

【讲清楚,说明白!】 Linux系统应急响应流程

目录:(一)概述(二)识别现象(三)闭环兜底(四)打上常见Web漏洞补丁 (一)概述(1.1)Linux环境下处理应急响应事件往往更加棘手,因为相比于Windows系统,Linux没有像procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以我们需要对流程进行梳理,系统化地处理Linux环境下的应急事件.(1.2)处理Linux应急响应主要分为4个环节:识别现象->清除病毒->闭环兜底->系统加固(1.3)首先从用户场景的主机异常现象触发,先识别出病毒的可疑现象.然后定位到具

安全等级划分依据与应急响应流程

查看等保要求及相关安全建设视频(郑歆炜cnhawk:企业安全那些事 – 应急响应http://open.freebuf.com/live/181.html)后整理,不成熟处还望指正. 安全等级划分:(是在平时对网络环境的评估) 1,  依据不同业务系统受到不同侵害时将造成的损失(即业务系统的重要性)见表一 2,  进行基于物理安全,网络安全,主机安全,应用安全,数据安全五方面评估(即在等保的基础上根据实际情况作相应修改) 见表二 综合以上两点,对整个网络进行安全评估 表一 业务系统侵害等级 受侵

应急响应

一.应急响应基础 流程:事件状态判断-临时处置-信息收集分析-事件处置-事件防御 1.事件状态判断 了解现状.发生时间.系统架构.确认感染主机 2.临时处置 被感染主机:网络隔离.禁止使用U盘和移动硬盘 未感染主机:ACL隔离.关闭SSH.RDP等协议.禁用U盘和移动硬盘 3.信息收集分析 windows系统:文件排查.进程排查.系统信息排查.日志排查 linux系统:文件排查.进程排查.日志排查 4.事件处置 已感染主机:断网隔离.等待解密进展 未感染主机 补丁修复:在线补丁.离线补丁 事件加

Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

Windows应急响应的命令使用和安全检查分析 1.获取IP地址: ·ipconfig /all,获取Windows主机IP地址信息: ·ipconfig /release,释放网络IP位置: ·ipconfig /flushdns,更新网络IP位置: ·ipconfig /renew,更新网络IP等消息获取DNS服务器的IP地址等. 2.获取端口信息: ·neystat -an,获取主机所有端口的开放情况和网络连接情况: ·-o,显示与每个连接相关的所属进程ID: ·netstat -ano

流媒体协议介绍

RTP 参考文档 RFC3550/RFC3551 Real-time Transport Protocol)是用于Internet上针对多媒体数据流的一种传输层协议.RTP协议详细说明了在互联网上传递音频和视频的标准数据包格式.RTP协议常用于流媒体系统(配合RTCP协议),视频会议和一键通(Push to Talk)系统(配合H.323或SIP),使它成为IP电话产业的技术基础.RTP协议和RTP控制协议RTCP一起使用,而且它是建立在UDP协议上的. RTP 本身并没有提供按时发送机制或其它

渗透测试02------windows日常巡检,应急响应等总结

一:日常巡检: 1.日志: a:事件查看器中,查看日志.应用程序,安全性,系统,观察是否被入侵. b:查看历史记录在c:\DOCUMENTS AND SETTINGS c:修改后门账号密码.进去查看历史浏览网页等一些东西 2.进程,端口,网络连接,服务: a:tasklisk 查看进程 b:netstatt -an 查看端口连接状态 c:使用一些安全工具,分析后台木马等 d:在服务中,查看是否插入了系统进程.. 4.cpu,内存,流量: 可能用服务器发动DDOS攻击,或者扫描其它服务器,导致cp