» »

Psyb0t - zlonamerni črv, ki napada Linux mrežno opremo

Psyb0t - zlonamerni črv, ki napada Linux mrežno opremo

Slo-Tech - Velik razmah poceni a zanesljivih mrežnih usmerjevalnikov na bazi Linuxa je terjal svoj davek.

Pojavil se je zlonamerni program, natančneje prikrito omrežje, ki nosi ime Psyb0t. Njegova tarča niso slabo ali povsem nezaščiteni osebni računalniki, ampak mrežna oprema, kot so DSL in kabelski modemi ter mrežni usmerjevalniki, ki bazirajo na MIPS procesorjih in kot operacijski sistem uporabljajo Linux. Prizadeta je predvsem oprema prizvajalcev Linksys in Netgear, na napade pa niso imuni niti izdelki drugih proizvajalcev. Ranljivi so tudi vsi izdelki, na katerih teče dd-wrt, a le, če imajo vključen WAN management.

Na srečo pa gre pomemben del ranljivosti pripisati človeškemu dejavniku, saj je uspešnost okužbe odvisna od uporabe privzetih oziroma slabih gesel. Psyb0t ima namreč v svoji bazi shranjenih več kot 6000 uporabniških imen in 13000 gesel, s katerimi skuša vstopiti v slabo zaščiteno napravo.

Kot vedno, ostajata dobra in slaba novica. Slaba je v tem, da napada in okužbe s Psyb0t ne morejo odkriti protivirusni programi nameščeni na osebnem računalniku in tako okužba za večino uporabnikov ostane praktično nevidna.

Dobra novica pa je, da omejeni zlonamerni program trenutno še ne povzroča večje škode. Kot kaže gre bolj za preizkus, resnejših napadov pa se lahko nadejamo v prihodnosti.

Mrežna oprema je namreč zelo primerna za zlorabe v smislu vzpostavitve prikritih omrežij, izvajanja DDOS in spam napadov, saj je zaupanje uporabnikov v opremo zelo veliko in naprave večinoma samo vključijo in pozabijo nanje, strojna oprema v teh napravah pa je več kot samo dovolj zmogljiva za izvedbo takih napadov.

Še nekaj informacij:
Linux magazine
ZDnet

33 komentarjev

Apple ::

Ufff, je8emu...

No, pa je blo treba izklopt management prek WANa :((
LP, Apple

Macketina ::

Zakaj? Sej lepo pise, da ce uporabis nestandardan port + mocno geslo si relativno varen. Absolutne varnosti pa itak ni. (govorim za DD-WRT)

gruntfürmich ::

in kje se nahaja wan management za izklopit?:)

mora pa verjetno se iz računalnika zagnat ta zlonamerni program?
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Zgodovina sprememb…

Jeremias ::

in kje se nahaja wan management za izklopit?:)

mora pa verjetno se iz računalnika zagnat ta zlonamerni program?


najdes tukaj:

Administration > Management > Remote Access

sicer pa je v novici tudi link do dd-wrt strani kjer ravno piše o tem kako izklopiš oz. kako nastaviš da si relativno varen pred tem črvom.
Lp
Jernej

Apple ::

Pod Administration: Remote Access (Enable ali Disable).

Ech, vseen je bolj varno, če je to disabled :))
LP, Apple

Prospekt ::

A je šansa, da mi zato serje ruter in od včeraj zvečer tudi po 30-30-30 resetu noče na net? (buffalo whr-hp-g54 buffalo firmware)

Icematxyz ::

Če prav razumem se preko remote skuša vpisati z neko bazo najbolj običajnih uporabniških imen in gesel? torej vdor je možen zaradi slabe kvalitete gesla in uporabniškega imena?

phong ::

A so v nevarnosti tudi Routerji s Tomato Firmware (ki je nekako podoben dd-wrt)?
cool-proxy.net

OmegaBlue ::

Ja, stvar bruteforca geslo če imaš na WAN odprto management na default portu (stvar je privzeto izklopljena) in šibko geslo torej admin/admin in podobno solato.

Ranljiv je tudi tomato in openwrt.

Tukaj ne gre za ranljivost firmwara (kak remote exploit) pač pa za izkoriščanje trapastih nastavitev.
Never attribute to malice that which can be adequately explained by stupidity.

Zgodovina sprememb…

jan01 ::

Privzeto je remote dostop disabliran. Itak, da si v nevarnosti karkoli že inaš, če pa imaš enabliran remote access, za password pa kar admin, 12345 oz še kaj bolj neumnega. Seveda pa lahko (vsaj v tomatu) nastavite iz katerih ipjev je dovoljen remote access...

fiction ::

Sem ze kaksno leto nazaj slisal o tem, kako kiddiji crosscompilajo svoja "orodja" za MIPS platformo, tako da vse skupaj
deluje tudi na home routerjih. Tale "avtomatizacija" je le logicen korak naprej.

Jasno, da je tak domac router zelo zanimiva tarca - direktno je izpostavljen internetu, poleg tega pa uporabniki ne skrbijo prevec zanj. Domac racunalnik ima namescenih ze n firewallov in ostalega crapa, omogoceno namescanje avtomatskih popravkov pa se v NAT-u je in ni direktno dosegljiv, medtem ko napadalec do routerja teoreticno celo dostopa. Ker je ne meji med uporabnikom in internetom je idealen za prestrezanje prometa. Uporabnik ponavadi zadevo uporablja out-of-the-box (baje je v Italiji nek ISP talal routerje z namescenim dd-wrt) oz. po namestitvi drugega firmwara enostavno pozabi nanj (ni tako, da bi kdo spremljal kaj se dogaja ali pa vsaj namescal varnostne popravke). Torej v prihodnosti bo najbrz se vec tovrstnih botnetov.

techfreak :) ::

In zakaj bi nekdo uporabljal WAN vmesnik za nastavljanje routerja? To se mi nikakor ne zdi logično.

Brane2 ::

Ja, precej trapasto.

Me je kar zmraziloob tej opciji in sem se pobrigal, da je ostala izklopljena.
On the journey of life, I chose the psycho path.

squngy ::

"In zakaj bi nekdo uporabljal WAN vmesnik za nastavljanje routerja? To se mi nikakor ne zdi logično."

Recimo enemu mojemu bivšjemu sošolcu fotr iz službe blokira lineageII.com (al kaj je že?) in se pol ne mere loginat, lahko tudi nadzoruje promet...
(zato sm mu pa reku naj samo računalnik priklopi direktno na internet ko je sam :P)

tinlad3n ::

Recimo hočeš preko remota na svoj računalnik pa ne dela. In greš pač pogledat nastavitve v routerju če je vse v redu. Kako boš to naredu brez wan vmesnika?

Matthai ::

Meni se recimo zdi smiselni remote ssh dostop do routerja...
All those moments will be lost in time, like tears in rain...
Time to die.

BigWhale ::

Meni se recimo zdi smiselni remote ssh dostop do routerja...


Seveda. Vcasih treba kaj postoriti. No, na koncu se itak izkaze, da takrat, ko moras kaj vecjega postoriti, tko al tko zajebes en firewall rule in se zaklenes ven. Potem gres on-site. :>>

Brane2 ::

Meni pa ne. Je le preobčutljiva zadeva.

Nekdo najde luknjo v njihovi implementaciji in si mrzel.

Te zadeve pa ravno ne slovijo po stabilnosti, zanesljivosti in kakovosti vdelane kode.
On the journey of life, I chose the psycho path.

tinlad3n ::

Ma v čem je pa sploh problem zdej tle? Spremeniš port na nondefault in nastaviš nek "zapleten" password in si safe. Če se bo pa kdo ki obvlada hackanje spravil nate mu bo pa uspelo pa če nastaviš karkoli.

uros_m ::

1. Zakaj bi nekdo hotel imeti vklopljen remote management?
Recimo, da ti crkne VNC/RDC/etc... in greš pogledati, če se je morda tvojemu računalniku dodelil drugačen lokalen IP. Včasih je tudi lažje, če se povežeš nekam od doma in preveriš v čem je štos, namesto da se voziš 150km daleč in nato ugotoviš, da tako ali tako ne moreš nič pomagati ali pa da je napaka tako banalna in bi jo lahko rešil od doma, ako bi imel remote dostop.

2. Če nisi ravno idiot prve klase imaš verjetno nastavljen vsaj 16-mestno full ASCII geslo. V nasprotnem primeru si po mojem mnenju zaslužiš malce "budnice" v obliki vdora, da spoznaš da si kreten.

3. O kakovosti DD-WRT napram originalnem Firmware-u bi se dalo debatirati, tako da bi tiste, ki DD-WRT še niso uporabljali lepo prosim da začepijo (o ostalih alternativnih firmwarih pa ne bi, ker nimam toliko izkušenj).


4. Če imaš postavljen WLAN in šibko geslo je isti klinac kot če bi imel na remote dostopu do routerja šibko geslo. Razlika je le v tem, da v drugem primeru ni potrebno vzdigniti riti in se odpeljati do svoje tarče.

MrStein ::

OmegaBlue:
Tukaj ne gre za ranljivost firmwara (kak remote exploit) pač pa za izkoriščanje trapastih nastavitev.

Slab default password ni "ranljivost FW" ? ;)

Osebno imam SSH na OpenWRT. Vem zakaj.
Pa kvalitetno geslo (čeprav eni pravijo, da vse razen kripto ključev brez veze). Pa nestandarden port.
To zadnje ne zaradi varnosti, ampak ker na standardnega skoz neki kiddiji spamajo in je log pol (fail2ban bi mogel instalirat).

Glede kvalitete softvera, gre za Linux s bolj ali manj standardnimi orodji, tako da ni nič drugače kot kaki Ubuntu ali whatever. Velja za OpenWRT in sorodne, oni "krep", ki je po defoltu zraven, pa res. Bi morali z zakonom prepovedat in OpenWRT (ali DD-WRT ali kar je še takega) gor dajat.

tinlad3n:
Ma v čem je pa sploh problem zdej tle? Spremeniš port na nondefault in nastaviš nek "zapleten" password in si safe.

Razloži ti to sosedu mesarju. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Brane2 ::

O kakovosti DD-WRT napram originalnem Firmware-u bi se dalo debatirati, tako da bi tiste, ki DD-WRT še niso uporabljali lepo prosim da začepijo (o ostalih alternativnih firmwarih pa ne bi, ker nimam toliko izkušenj).


O.K. Kaj nam lahko poveš o kakovosti DD-WRT ?
MIslim, kar se varnosti tiče ?
Je prestal kake posebne varnostne teste ?


4. Če imaš postavljen WLAN in šibko geslo je isti klinac kot če bi imel na remote dostopu do routerja šibko geslo. Razlika je le v tem, da v drugem primeru ni potrebno vzdigniti riti in se odpeljati do svoje tarče.>


To vem. Kar ne vem, je ali je na tem malem sranju SW in HW implementiran kakovostno. Ali ej recimo random generator res random ali vsaj zadosti pseudorandom in ali je recimo zadeva scompilana v hardened režimu s pripadajočimi stack checki, address randomizationom in PAXom ali pa je ubogemu ARMu že tako zmanjkalo MHz, MMU enota pa tudi ne podpira ravno vseh trikov, oziroma ti niso implementirani v Linuxu ?
On the journey of life, I chose the psycho path.

pecorin ::

Meni se recimo zdi smiselni remote ssh dostop do routerja...


jaz se v primerih, ko je treba kaj narediti na routerju, povezem na en racunalnik za routerjem in od tam na router.

Brane2 ::

+1
On the journey of life, I chose the psycho path.

OmegaBlue ::

OmegaBlue:
Tukaj ne gre za ranljivost firmwara (kak remote exploit) pač pa za izkoriščanje trapastih nastavitev.

Slab default password ni "ranljivost FW" ? ;)


Tako kot ni ranljivost proti-vlomnih vrat če pustiš ključ pod predpražnikom. DD-WRT in Tomato od tebe pri prvi prijavi zahtevata novo geslo, če ga nastaviš na staro vrednost si čisto sam kriv.
Never attribute to malice that which can be adequately explained by stupidity.

tinlad3n ::

OmegaBlue:
tinlad3n:
Ma v čem je pa sploh problem zdej tle? Spremeniš port na nondefault in nastaviš nek "zapleten" password in si safe.

Razloži ti to sosedu mesarju. ;)


Pa sej sosedov mesar tud ne bo naštimal remote access, ker sploh ne ve kaj to pomeni. Bi pa mogli proizvajalci routerjev nastavit neko opozorilo, da naj userji spremenijo geslo ob prvi prijavi. In neka opozorila ob nastavljanju wifija na routerjih da ne obvezno nastavit neko zaščito in se ne sme pustit odprto omrežje, itd...

kihc ::

Meni se recimo zdi smiselni remote ssh dostop do routerja...


jaz se v primerih, ko je treba kaj narediti na routerju, povezem na en racunalnik za routerjem in od tam na router.


Ja in če za ruterjem ni nobene mašine prižgane?

Jaz dost uporabljam Wake-on-lan funkcijo v Tomatu, in zato pač rabim web access. Je pa res da mam zadevo dostopno samo iz enega statičnega ipja, pa geslo tudi ni glihk trivialno.
https://platform.tokens.net/register/?r=6CV6ZF (20% nižji trading fee)

Mr.B ::

Pa sej sosedov mesar tud ne bo naštimal remote access, ker sploh ne ve kaj to pomeni. Bi pa mogli proizvajalci routerjev nastavit neko opozorilo, da naj userji spremenijo geslo ob prvi prijavi. In neka opozorila ob nastavljanju wifija na routerjih da ne obvezno nastavit neko zaščito in se ne sme pustit odprto omrežje, itd...

To je nekako tako, kot bi za vsak gumb, vsak ukaz, vsako komndo iz menija, podal opozorila, da je to nevarno, zaradi ******. Get a life, zato je FAQ-u.

Drugače pa ne vidim vzroka, zakaj ne znate uporabljati VPN-ja na router. ....
Voljeno telo ogledalo volilnega telesa.

Matthai ::

V bistvu se tega lotevam že dlje časa, pa se vedno najde kakšen izgovor... no, zdaj morda izgovorov ne bo več (psybot).
All those moments will be lost in time, like tears in rain...
Time to die.

MrStein ::

In v čem je asimetrična enkripcija na VPN boljša od asimetrične enkripcije z SSH ? ;)

PS: Imam na svojem ruterju (Open)VPN.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matevžk ::

No, enkripcije so tako ali tako vedno simetrične. :) Samo prenos ključa je asimetričen, kar pri VPN-jih niti ni nujno, saj običajno lahko vnaprej varno izmenjaš ključ.
lp, Matevžk

fiction ::

Ce rabis dostopati do routerja od zunaj (kar dostikrat pride prav) ali pa do internih racunalnikov pa ni nekega port forwarda tja, potem je smiselno omogociti nek nacin za oddaljen dostop na router. Ce tega ne delas ali pa nimas pojma kaj to je, potem je "Remote WAN Configuration", "VPN" ali pa "SSH dostop" brezvezen feature, ki samo klice po tem da ga bo kdo exploital in kot tak problematicen z varnostnega stalisca.

VPN je bolj user friendly, drugace pa prakticno isto (dostop do resursa znotraj lokalne mreze) lahko dosezes tudi z nekaj ssh tunneli. ssh -L localport:ip:remoteport.

Azrael ::

Ce rabis dostopati do routerja od zunaj (kar dostikrat pride prav) ali pa do internih racunalnikov pa ni nekega port forwarda tja, potem je smiselno omogociti nek nacin za oddaljen dostop na router. Ce tega ne delas ali pa nimas pojma kaj to je, potem je "Remote WAN Configuration", "VPN" ali pa "SSH dostop" brezvezen feature, ki samo klice po tem da ga bo kdo exploital in kot tak problematicen z varnostnega stalisca.

To je res, vendar po drugi stranii so v Coyote Linux, pozneje BrazilFW (Linux FW in router, ki deuje na PC), je po privzeti namestitvi port 22 odprt na ven, za "External SSH Access".

Kdor je zadevo samo namestil, ugotovil juhu dela kot namazano in pozabil na vse skupaj ima port 22 odprt. User: root, geslo: administrator

Ne vem ali je v zadnji verziji BrazilFW, kaj drugače, nisem nameščal, saj je postal bloatware, problemov iz starejših verzij pa niso popravili, v predzadnji stable verziji je bil ta port odprt, tako kot v vseh verzijah 2.xx, verzij 1.xx pa nisem nikoli uporabljal in ne vem.

Zato IMHO niso vedno samo krivi uporabniki, ampak tudi sami razvijalci.
Nekoč je bil Slo-tech.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Virus za usmerjevalnike, ki jih ščiti pred ostalimi virusi

Oddelek: Novice / Varnost
64542 (2406) bMozart
»

Inovativen napad: Geolokacija, tudi brez vaše privolitve

Oddelek: Novice / Varnost
3410695 (8801) MrStein
»

Računalniške igre

Oddelek: Igre
223899 (3225) atasmrk
»

Linux/Apache kot vektor napada...

Oddelek: Informacijska varnost
271708 (1098) Atos
»

2 wireless routerja

Oddelek: Omrežja in internet
182025 (1629) wooted

Več podobnih tem