Horizon'da Sürekli Router Botnetlerini Söyledi, Araştırmacı Defcon 'da Söyledi: Güvenlik araştırmacısı Michael Coppola, küçük ve ev ofisi (SOHO) yönlendiricilerinin nasıl olabileceğini gösterdi Güvenlik uzmanı Michael Coppola, küçük ve ev ofisi (SOHO) yönlendiricilerinin, satıcı tarafından sağlanan firmware'in arka kapılı sürümleriyle güncelleştirilerek, botnet istemcilerinin nasıl ele geçirilebileceğini ve botnet istemcilerine dönüştürülebileceğini gösterdi.

Virtual Security Research'te (VSR) güvenlik danışmanı olan Coppola, Pazar günü Defcon hacker konferansında, tersine mühendislik becerilerini gerektiren karmaşık bir süreç olan yönlendirici sabit yazılımı arka kapısında bir çarpışma kursu verdi.

Ayrıca, farklı satıcılardan birkaç popüler yönlendirici modeli için firmware arka kapı işlemini otomatik hale getiren Router Post-Exploitation Framework (rpef) adlı bir araç da yayınladı.

[Ayrıca okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz?

Rpef tarafından desteklenen aygıtlar şunları içerir: Netgear WGR614, WNDR3700 ve WNR1000; Linksys WRT120N; TRENDnet TEW-651BR ve TEW-652BRP; D-Link DIR-601 ve Belkin F5D7230-4.

Bu yönlendiricilerin sadece belirli sürümleri çerçeveyle kaplanabilir ve bazıları daha fazla test gerektirir. Bununla birlikte, desteklenen cihazların listesi gelecekte genişletilecektir.

Rpef, yönlendirici ürün yazılımına birkaç yük yükü ekleyebilir: bir kök bağlama kabuğu, bir ağ algılayıcısı veya önceden tanımlanmış bir IRC'ye bağlanan bir botnet istemcisi (Internet Relay Chat) Bir servis reddi saldırısı başlatmak için dahil olmak üzere, saldırgandan farklı komutlar alabileceği sunucu.

Arka kapı yazılımını bir cihaza yazdıran - ayrıca yanıp sönen bir süreç - Web üzerinden de yapılabilir. Çoğu yönlendiricinin ve bir uzak saldırganın temel yönetim arabirimleri bu özelliği çeşitli şekillerde kötüye kullanabilir.

Bir yöntem, Internet tabanlı yönetim arabirimini uzaktan erişilebilir yapan yönlendiriciler için Internet'i taramaktır. Bu, bugün birçok yönlendiricide varsayılan ayar değildir, ancak bu şekilde yapılandırılan birçok aygıt Internet'te kullanılabilir.

Bu aygıtlar belirlendikten sonra, saldırgan varsayılan tedarikçi tarafından sağlanan parola, kaba gücü kullanmaya çalışabilir. Girmek için şifre veya istismar kimlik doğrulama baypas güvenlik açıklarını kullanın. Yönlendiricinin varsayılan yönetici kimlik bilgilerini ve güvenlik açıklarını izleme ve belgeleme konusunda uzmanlaşan web siteleri var.

"Bağlantı noktası taramalarını yaptım ve binlerce açık yönlendiricinin IP adresleri var. Internet'e uzaktan varsayılan şifre ile dinliyorlar, "dedi Coppola.

Bununla birlikte, Web arayüzü internete açık olmadığında bile, haydut firmware ile uzaktan uzaktan gösterme yolları var.

Güvenlik danışmanlığı şirketi AppSec Consulting için çalışan güvenlik araştırmacıları Phil Purviance ve Joshua Brashars Perşembe günü Black Hat güvenlik konferansında, JavaScript saldırılarının ne kadar bilinen olduğunu gösterdi Kötü niyetli bir web sitesini ziyaret ettiğinde bir kullanıcının yönlendiricisinde DD-WRT Linux tabanlı özel ürün yazılımını flaş yapmak için yeni HTML5 tabanlı tekniklerle birleştirilebilir.

Zaten bir ağ kurgusu aracılığıyla yerel ağ aygıtlarını numaralandırabilen JavaScript tabanlı komut dosyaları var. tarayıcı ve hatta bu aygıtların türünü, yapısını ve modelini belirleme - aygıt parmak izi olarak bilinen bir teknik.

Kurbanın iç ağ IP adresini belirlemek yalnızca JavaScript ile yapılamaz, ancak Java gibi eklenti tabanlı içerikler kullanılabilir. Bu amaçla Purviance ve Brashars şunları söyledi:

Bir yönlendirici tespit edildikten sonra, saldırgan, varsayılan kimlik bilgilerini kullanarak veya çapraz site isteği sahtecilik (CSRF) saldırısı başlatarak Web arayüzüne kurbanın tarayıcısı üzerinden erişmeye çalışabilir. kurbanın aktif oturumundaki omurgasızlar.

Eğer kurban, geçmişte aynı tarayıcıyla yönlendiricinin web arayüzüne girmişse ve oturum çerezi hala aktifse, saldırgan sadece victi'yi yönlendirebilir m tarayıcısının yönlendiricinin arabiriminde kimlik doğrulama gerektirmeden bir eylem gerçekleştirmesi gerekir.

Çok sayıda yönlendirici, özellikle de yeni ürün yazılımı ile güncellenmemiş daha eski kullanıcılar CSRF korumasına sahip değiller.

Purviance ve Brashars, XMLHttpRequest Düzey 2 (XHR2), Çapraz Kaynak Kaynak Paylaşımı gibi yeni tarayıcı özelliklerinin nasıl olduğunu gösterdi. CORS) ve HTML5 Dosya API'sı, bir haydut firmware dosyasını kullanıcının tarayıcısına indirmek ve herhangi bir kullanıcı etkileşimi olmadan yönlendiriciyi bununla birlikte kullanmak için kullanılabilir. Bu, geçmişte JavaScript ve daha eski tarayıcı teknolojileri ile mümkün değildi, iki araştırmacı söyledi.

Onların gösterimi, yönlendiricinin kullanıcı tanımlı ayarlarını sıfırlamada düşüşe sahip olan DD-WRT'yi kullandı ve çünkü farklı bir arayüz.

Ancak, saldırısı Coppola'nın aracı tarafından üretilen arka kapı yazılımı ile kolayca birleştirilebilir. DD-WRT yerine, arka kapılı bir firmware yükleyebilir ve orijinaliyle tam olarak aynı görünecektir, Coppola dedi.

Kullanıcı tanımlı ayarlar bile korunabilir. Coppola, çoğu yönlendiricinin bir ürün yazılımı güncellemesi gerçekleştirirken ayarları koruma seçeneği sunduğunu söyledi. Bu ayarlar, bellenimi flaş ettiğinizde üzerine yazılmayan NVRAM (uçucu olmayan rastgele erişimli bellek) olarak adlandırılan ayrı bir bellek yongasında saklanır, dedi.

"İnsanların büyük botnet yapmaları için çok fazla fırsat var. sadece yönlendiricilerden, "dedi Coppola. “Aslında bunun ortaya çıkacağını düşünüyorum ve bunu sansasyonel bir şekilde kastetmiyorum.”

Yönlendirici tabanlı botnetler sadece bir kavram değil. 2009 yılında, virüslü bilgisayarların IP adreslerini izleyen bir kuruluş olan DroneBL, mıknatıslı Debian dağıtımını çalıştıran yönlendiricileri ve DSL modemlerini enfekte eden bir solucanı keşfetti.

2011 yılında, antivirüs sağlayıcı Trend Micro'nun araştırmacıları benzer bir parçaya rastladı. Latin Amerika'da yayılan ve D-Link yönlendiricileri hedefleyen kötü amaçlı yazılımlardan.

Her iki durumda da, kötü amaçlı yazılımlar, yönlendiricileri etkilemek ve yönlendiriciler kaldırılırken geçici bir botnet istemcisi yüklemek için kaba kuvvet saldırıları ve varsayılan kimlik bilgileri kullanıyordu Yeniden başlatıldı.

Coppola'nın aracı tarafından oluşturulmuş arka kapı yazılımı ile, cihaz yeniden başlatıldığında ve cihaz üzerinde çalışan rootkit türü kötü amaçlı yazılım aslında gizlendiğinde bulaşma devam ediyor.

Yöneltici botnet'lerinin henüz yaygın olmamasının nedeni şu: Coppola, bunları oluşturmak için uygun araçların olmadığını söyledi. Cuma günü Defcon'da sunulan ayrı bir araç, Firmware Ters Mühendislik Konsolu'nun (FRAK), kullanıcıların yazılım üzerinde yapabileceği analiz seviyesini gerçekten artırdığını söyledi.