PDA

Просмотр полной версии : Червь заражает роутеры - Будьте осторожны!



mvk2000
03.07.2012, 10:29
"...Следи за собой, будь осторожен!"
Чешские специалисты по кибербезопасности обнаружили червя, распространяющегося при помощи заражения маршрутизаторов, модемов и спутниковых ТВ-ресиверов. Судя по комментариям в исходном коде, вредонос создан в честь Чака Норриса; это же имя исследователи из Университета Масарик (Брно) решили дать созданному с его помощью роутер-ботнету, сообщает Computer World.

Ботнеты из роутеров (а также DSL-модемов, которые нередко одновременно являются роутерами) встречаются нечасто. Около года назад мы сообщали о черве psyb0t, который сколачивал такую зомби-сеть - однако в тот раз, по всей видимости, она создавалась в академических интересах.

Нынешний же роутер-ботнет используется для сколачивания вполне боевого ботнета на обычных компьютерах. Проникнув на роутер (брутфорсом пароля администратора), "Чак Норрис" меняет в нём настройки DNS. Пользователи локальной сети, пытающиеся зайти при помощи заражённого роутера на Google и Facebook, перенаправляются на поддельные сайты, откуда на их Windows-компьютеры пытаются пролезть трояны. Что именно делают эти вредоносные программы на обычных компьютерах, не сообщается - но вряд ли речь идёт о распределённых вычислениях на благо цивилизации.

Заражённые роутеры используются также для поиска в сети других роутеров с целью их дальнейшего заражения. Размеры роутер-ботнета пока неизвестны, хотя исследователи утверждают, что обнаружили следы заражений по всему миру, включая Южную Америку, Европу и Азию. Такой ботнет может быть использован для DDoS-атак, полагают они.

Ян Выкопал (Jan Vykopal), глава отдела сетевой безопасности Института вычислительной техники при Университете Масарик, предполагает, что в ближайшем будущем злоумышленники всё чаще будут использовать в своих атаках именно роутеры.

"[Программное обеспечение роутеров] обновляется нерегулярно, — говорит Выкопал. — Кроме того, роутеры постоянно подключены к Интернету, работая часами и месяцами".

Защитить свои роутеры от данной конкретной атаки можно, выставив секьюрный пароль администратора (т.е. взять в качестве пароля несловарную последовательность символов). Также можно обновить прошивку и отключить функции удалённого доступа к устройству. Заражённые роутеры "лечатся" перезагрузкой.

Игорь Крейн (http://mag.com.ua/news940.htm)
Cерьезную опасность обнаружили администраторы сайта DroneBL. Примерно две недели назад на сайт была совершена DDoS-атака. При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».

Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для демилитаризованной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.

После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.

Не успело подробное описание червя появиться в блоге DroneBL, как поступила новая информация автора psyb0t. Он уверяет, что написал червя с исследовательскими целями и теперь прекращает дальнейшую работу над ним. Также он уверяет, что сумел захватить порядка 80 000 устройств, но никогда не использовал этот ботнет для DDoS-атак, фишинга или кражи личных данных. Подробнее (http://www.zentron.org/about/news/detail.php?ID=28)

Xamat
03.07.2012, 21:57
Судя по комментариям в исходном коде

Что именно делают эти вредоносные программы на обычных компьютерах, не сообщается

Размеры роутер-ботнета пока неизвестны, хотя исследователи утверждают,

Ян Выкопал (Jan Vykopal), глава отдела сетевой безопасности... предполагает,
И...? Они сами то хоть что-то поняли или предполагают, что поняли? А панику подняли...


Cерьезную опасность обнаружили администраторы сайта DroneBL. Примерно две недели назад на сайт была совершена DDoS-атака. При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».
Слава богу, что админы хоть на втором году существования пси-бота узнали о его существовании.:jokingly: 
Давно всем известны примеры  и последствия применения паролей типа QWERTY, admin, 1234567 и иже с ними. НЕ ленитесь ставить нормальные пароли и никакие пси-бот-сети вас не побеспокоят. 

tat100
03.07.2012, 22:05
У меня Wi-Fi роутер стоит, пароль дали при установке, самой можно его поменять?

Xamat
03.07.2012, 22:24
tat100
    Да! Пароли меняются на всех устройствах - и на роутерах, на маршрутизаторах, на модемах и т.д. Смотрите в настройках или войдя в интерфейс устройства нажмите F1- вызов справки. Хотя, если пароль нормальный, например буквенно-цифровой, да ещё и со сменой регистра (например 0yU6hzHw), то можно и не менять.
Главное, потом его не потерять.

tat100
03.07.2012, 22:36
например буквенно-цифровой, да ещё и со сменой регистра (например 0yU6hzHw), то можно и не менять.
Спасибо! Вы меня успокоили, у меня как раз такой

mvk2000
04.07.2012, 06:21
буквенно-цифровой, да ещё и со сменой регистра (например 0yU6hzHw) Еще надо уточнить момент, чтобы он не был штатным - в некоторых моделях вшит именно такой пароль (или бывает логин) (буквенно-цифровой, да ещё и со сменой регистра) - но это ведь всем известно. т.е. пароль должен быть назначен Вами самостоятельно (или с помощью генератора паролей)

Random
04.07.2012, 17:15
Пароли меняются на всех устройствах
http://img11.nnm.ru/0/0/5/a/a/02da3490260d23179bde137c61a.jpg

Xamat
04.07.2012, 18:03
Еще надо уточнить момент, чтобы он не был штатным
Совершенно верно. Упустил этот нюанс.
Спасибо за дополнение.

Random
Тут даже Wireshark не понадобился.:rofl: