Malware w reklamach atakujący routery (DNSChanger)

18 grudnia 2016, 16:22 | W biegu | komentarzy 11
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Niepokojąca kampania, łącząca w sobie dwa potencjalnie odległe problemy bezpieczeństwa – serwowanie malware poprzez reklamy, oraz atakowanie Internetu Rzeczy. Akcja wykorzystuje też steganografię (ukryty klucz AES w obrazkach – służący dalej do zdeszyfrowania payloadów).

Docelowo atakowane są routery, które mogą być są dostępne tylko z sieci lokalnej (po WiFi, albo kablem). Nie ochronicie się wiec tutaj wyłączając dostępność panelu administracyjnego z poziomu Internetu.

Całość układanki jest dość nietypowa – najpierw atakowanie są PC-ty, ale tylko po to żeby zaatakować router – będący w sieci LAN. Routery z kolei są rekonfigurowane (np. otworzenie panelu administraycjnego na zewnątrz) i wykorzystywane do ataku na wszystkich w sieci LAN (zmiana serwerów DNS na serwery atakującego).

W trakcie ataku wykorzystywane są takie podatności jak CSRF, czy inne znane luki w routerach.  Próbowanych jest też wiele domyślnych par użytkowników / haseł.

Sam moduł sprawdzający konkretny model urządzenia (na który jest dostępny atak) obejmuje 166 urządzeń takich marek jak:

  • D-Link
  • Netgear
  • TP-Link
  • Asus
  • Belkin
  • Edimax
  • Zyxel

Cały schemat działania – na diagramie poniżej:

gfxrouter

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. anchaj

    Pozostaje zainstalować tomato, wyłączyć dostęp do panelu admina po wifi i używać tylko wifi.

    Odpowiedz
    • Odpowiedz
      • Jaga

        *Kiedy autor komentarza ma tak negatywne nastawienie do życia, że potrzebujesz go jakoś pocieszyć*

        Odpowiedz
    • Tylko nie wgrywaj (jak wielu szukających potem pomocy) aktualizacji Tomato po tym WiFi… ;o)

      Dostęp przez WWW możesz wyłączyć, możesz nawet zmienić domyślny login (http://monter.techlog.pl/jak-zmienic-domyslny-login-w-tomato-na-wlasny/), ale co z tego, skoro przez SSH loginem zawsze jest „root” niezależnie od loginu WebGUI. Możesz nie aktywować SSH ani Telnetu, tylko jak sam się potem dostaniesz do ustawień? ;o)

      Odpowiedz
      • Tryt

        Przy odrobinie szczęścia przez serial na dolutowanych pinach ;]

        Odpowiedz
  2. Jakub

    Wniosek ? Kupujemy RBka używanego na allegro i mamy spokój :)

    Odpowiedz
  3. Haress

    A jest gdzieś w sieci lista konkretnych modeli ruterów ?? Czy każdy model z podanych firm jest podatny na atak ??

    Odpowiedz
    • Tryt

      Choć to nie do końca odpowiedź na twoje pytanie – Możesz poczytać o alternatywnych firmware’ach (Open Linksys, DD-Wrt, OpenWrt) i nie będziesz się zastanawiał przy kolejnych odkryciach luk w „popularnych routerach”

      Odpowiedz
      • Kefas

        Oczywiście alternatywy są z reguły bezpieczniejsze, ale je też trzeba aktualizować, chociażby przez krytyczne podatności w openssl, hostapd, itp.

        Odpowiedz
  4. Warr

    A czy nie wystarczy w każdym komputerze ręcznie ustawić DNS np. od Googla?

    Odpowiedz
    • Tryt

      Jak napisał autor linkowanego źródła „The best defense against these attacks is to ensure routers are running the latest available firmware and are protected with a long password that’s generated randomly or through a technique known as diceware. Disabling remote administration, changing its default local IP address can also be helpful, and hardcoding a trusted DNS server into the OS network settings can also be helpful.”
      Ja bym dorzucił jeszcze szyfrowanie ruchu do serwerów DNS, użycie VPN’u – niestety często opcje te nie są dostępne na popularnych routerach dlatego monotematycznie odwołam się do alternatywnego firmware routerów (Open Linksys, DD-Wrt, OpenWrt).
      Oprócz tego należałoby prewencyjnie zadbać o końcówki (komputery, telefony, tablety, konsole, telewizory, lodówki, miksery, etc.) pracujące w sieci lokalnej (aktualizacje systemu operacyjnego, antywiry, firewalle) o hardening systemów operacyjnych, o przeglądarki z sandboxami, z wtyczkami blokującymi reklamy, czyszczącymi/blokującymi coockiesy, o wyłączenie flasha i javy.
      Tak, wiem, paranoja ale i niestety powoli staje się to codziennością.
      Świat (sieć) się zmienia i użytkownicy „domowi” muszą się zmieniać w bardziej świadomych i umiejętnych.

      Odpowiedz

Odpowiedz