偶然、私のコンピューターに次のような奇妙なファイアウォール ログ エントリがあることに気付きました。
Apr 1 22:17:56 slavic-probook kernel: [23623.091873] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=39529 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:57 slavic-probook kernel: [23624.092666] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=39622 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:58 slavic-probook kernel: [23625.094162] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=40181 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
Apr 1 22:17:59 slavic-probook kernel: [23626.094239] [UFW BLOCK] IN=wlp2s0 OUT= MAC=d0:57:7b:60:3a:6a:18:b8:1f:27:ed:06:08:00 SRC=192.168.1.65 DST=192.168.1.70 LEN=323 TOS=0x00 PREC=0xA0 TTL=64 ID=40237 DF PROTO=UDP SPT=1900 DPT=49952 LEN=303
SRC IP アドレスを持つデバイスは、スマート TV に接続された Telus DVR ボックスです。ログから判断すると、TV ボックスがネットワーク上のコンピューターに、特にランダム ポートにメッセージを送信しようとする理由は見当たりません。
DVR ボックスが感染しており、何らかの脆弱性スキャナーが実行されていると結論付けるのは正しいでしょうか?
アップデート1
ファイアウォールがブロックしたトラフィックだけでなく、全体像を把握したかったので、問題のホストに関連するいくつかの tcpdump を自分のコンピューターで実行しました。tcpdump -i wlp2s0 -n "src host 192.168.1.65 or dst host 192.168.1.65"
(注意: Wi-Fi インターフェイスでリッスンしていますが、TV ボックス自体はイーサネット上にあるので、問題はありません)
結果は次のような一連のマルチキャスト要求でした。
01:59:17.410558 IP (tos 0xa0, ttl 1, id 9041, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:20.482689 IP (tos 0xa0, ttl 1, id 11391, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:23.350033 IP (tos 0xa0, ttl 1, id 14259, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:26.421815 IP (tos 0xa0, ttl 1, id 16051, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
01:59:29.494329 IP (tos 0xa0, ttl 1, id 17699, offset 0, flags [DF], proto UDP (17), length 564)
192.168.1.65.40106 > 239.255.255.250.8082: [udp sum ok] UDP, length 536
各メッセージの内容は次のようになります。
NOTIFY * HTTP/1.1
x-type: dvr
x-filter: f0e4ba33-5680-459b-8c3d-a4fdeffdb2f9
x-lastUserActivity: 4/2/2018 7:26:29 AM
x-location: http://192.168.1.65:8080/dvrfs/info.xml
x-device: 0d90b7cc-3fc2-4890-b2b9-8f7026732fd6
x-debug: http://192.168.1.65:8080
<node count='7102'><activities><schedver dver='3' ver='57' pendcap='True' /><x/><p15n stamp='08D514D5EC333DF818B81F27ED06'/><recordver ver='46' verid='355872864' size='962072674304' free='952610324480' /><x/></activities></node>
そして、時々、ファイアウォールでブロックされたおなじみのリクエストが届きます。
02:02:28.005207 IP (tos 0xa0, ttl 64, id 34066, offset 0, flags [DF], proto UDP (17), length 323)
192.168.1.65.1900 > 192.168.1.70.53280: [udp sum ok] UDP, length 295
02:02:28.900119 IP (tos 0xa0, ttl 64, id 34258, offset 0, flags [DF], proto UDP (17), length 323)
192.168.1.65.1900 > 192.168.1.70.53280: [udp sum ok] UDP, length 295
内容:
HTTP/1.1 200 OK
LOCATION: http://192.168.1.65:56790/dd.xml
CACHE-CONTROL: max-age=1800
EXT:
BOOTID.UPNP.ORG: 1
SERVER: Linux/2.6 UPnP/1.1 quick_ssdp/1.1
ST: urn:dial-multiscreen-org:service:dial:1
USN: uuid:0d90b7cc-3fc2-4890-b2b9-8f7026732fd6::urn:dial-multiscreen-org:service:dial:1
これは、SSDP 実装が壊れていることを示唆していると思われますが、知識のある人からの情報があれば、状況が明らかになる可能性があります。
アップデート2
ファイアウォールによってブロックされたメッセージ グループの原因がわかりました (192.168.1.65:1900 -> my.computer:random_port)。Google Chrome は、約 1 分ごとに SSDP 検出要求をマルチキャストし続けました。コーディング方法により、これらの要求は一見ランダムなポートを使用するため、TV Box から正当な応答が返されると、ブロックされました。
これで最初のグループのメッセージは明確になりました。2 番目のグループの原因が何なのかをまだ知りたいです。
答え1
これはさまざまな理由で発生する可能性があるため、結論を急がないでください。インターネット対応デバイスの多くは、定期的に、または特定の条件が満たされたときにネットワークのスキャンを実行します。前者は当てはまらないようですが、DVR は、新しいデバイスがパケットを送信したり、事前共有キーが同じままのネットワーク セキュリティの変更 (WPA から WPA2 など)、ルーターの自動更新によって引き起こされたプロトコル バージョンの違いなど、ネットワークの変更を検出した可能性があります。これらは、デバイスがこのアクションを実行する理由のほんの一部です。
私のアドバイスは、ネットワークスキャンを実行することです。これは、次のようなさまざまなツールを使用して実行できます。Nマップは、コマンドラインとグラフィカルの両方のオプションを提供する、非常に人気のある無料のネットワーク マッピング ツールです。NMap と他のほとんどのネットワーク マッピング ツールは、マッピングされたデバイスに関する多くの詳細情報を提供するため、ネットワークをマッピングして疑わしい IP アドレスを根絶することをお勧めします。ISP によって強制されるポート フィルタリングと「デフォルトで有効」になっているネットワーク全体のファイアウォールが豊富な現代では、最も一般的な攻撃はネットワーク内部から発生するようになりました (たとえば、近くの攻撃者が Wi-Fi ネットワークにアクセスし、ログインして悪意のある攻撃を開始した場合など)。したがって、ネットワークをマッピングすることが、悪意のあるエンティティを見つけるための最善の策になります。スノートワイヤレス ネットワークを使用している場合、最初の論理的な手順は、事前共有キー (または「パスワード」) を強力な、できればランダムに生成されたキーに変更することです。前述のように、ほとんどの攻撃はネットワーク内から行われるため、攻撃者がネットワーク上のデバイスに永続的にアクセスしたり、ルーターに物理的にアクセスしたりしない限り、これにより、少なくとも一時的には多くの攻撃を阻止できます。