Archiwa kategorii: Bezpieczeństwo

BotNet router! Wirus blokuje routery i używa ich do ataków DoS!

Kiedyś przeczytałem o tym w internecie, BotNet atakujący routery… wydawało mi się , że jest to totalna bzdura. Okazuje się, że nie! Dziś trafiły w moje ręce trzy zablokowane routery firmy TP-Link i D-Link. Były to modele WR1043ND WR841ND oraz D-Link DIR-615. Wszystkie routery po uruchomieniu działają normalnie, mają nawet SSID i hasło które wybrał sobie użytkownik na FABRYCZNYM SOFCIE! Niestety po wpisaniu 192.168.1.1 pokazuje się strona informacyjna systemu DD-WRT próba logowania zawsze kończy się niepowodzeniem. Router nie odpowiada na przycisk WPS oraz reset, zawsze startuje z wcześniej wybranym SSID-em. Zainfekowany router tworzy dodatkowy SSID którego nie rozgłasza, jest to pnet_XXXXXX, gdzie XXXXXX to koniec adresu MAC interfejsu wifi. Hasło do sieci jest takie samo jak SSID z tym że jest odwrócone czyli: XXXXXX_pnet. Po zalogowaniu na 192.168.1.1 nie musimy podawać hasła ani login-u, mimo to konfiguracja jest nadal zablokowana. Informacje wyświetlane przez router na stronie „STATUS” są FIKCYJNE, klienci którzy masowo łączą się z naszym AP nie istnieją. Po analizie danych przesyłanych przez router wynika że łączy się on z kilkoma różnymi adresami IP, podejrzewam że są nimi inne zainfekowane routery od których dostaje instrukcje. 99% czasu nic się nie działo, ale po około 8h router zaczął wysyłać pakiety UDP na jeden adres IP (w tym wypadku POLSKI!)

Router da się odblokować! Potrzebna do tego jest konsola szeregowa, po jej podłączeniu musimy nadpisać cały firmware. Ja profilaktycznie nadpisałem cały firmware a potem wymieniłem bootloader-a (w moim wypadku redboot) i z poziomu bootloader-a wymieniłem system na prawdziwy DD-WRT.

Osoby które dostarczyły mi router mówiły że ustawiły trudne hasło na WebGUI i nie miały załadowanego DD-WRT tylko oficjalne oprogramowanie. Wygląda na to że wirus używa metody słownikowej lub jakiegoś exploita aby dostać się do routera, po czym wymienia oprogramowanie na zmodyfikowane DD-WRT i tak zmieniony, udaje normalną prace.

Nie da się ani odczytać komend sterujących ani odszukać IP sterujące ponieważ transmisja sterująca przychodzi z różnych adresów IP (podejrzewam że od innych zainfekowanych) a dodatkowo całość jest szyfrowana.

Każdą osobę która posiada tak zablokowany sprzęt zapraszam na forum, bardzo chętnie pomogę w odblokowaniu. Osobą z rejonu miast: Kraków, Katowice, Wrocław jestem w stanie pomóc osobiście.

Aktualnie udało mi się odblokować modele:

TP-Link WR1043ND

TP-Link WR841ND

D-Link DIR-615 A1

Update: Okazuje się że istnieje już nowsza wersja zainfekowanego router-a która po podłączeniu konsoli szeregowej wyświetla obrazek w ASCII:

Zmienił się też ukryty SSID, na sam adres MAC. Niestety nie pasuje wcześniejsze hasła, bez dostępu do konsoli nie da się go odczytać. Od tego momentu jedyny sposób naprawy to JTAG lub wymiana pamięci flash. Dodatkowo nowe oprogramowanie wprowadza reklamy, które wyskakują w zastępstwie strony którą chcemy załadować, ponowne załadowanie strony (po kilku sek.) powoduje, że zaczyna się ładować właściwa strona.

Lista znanych i możliwych do zainfekowania sprzętów:

TP-Link WR1043ND

TP-Link WR2543ND

TP-Link MR-3220 MR3420 MR3440

TP-Link WR841ND

D-Link DIR-615

D-Link DIR-600

D-Link DIR-815

Linksys E4200 (oraz praktycznie cała seria E)

La Fon 2100 oraz 2200

Narzędzia do łamania hasła (Password crack)

Dla tych którzy nie wiedzą do czego testowania mogą się przydać słowniki umieszczone w poprzednim poscie, umieszczam troszkę narzędzi które mogą się przydać.

Krótki opis:

browser – programy do wyciąganie haseł z takich przeglądarek jak Firefox, Chrome, Internet Explorer, Opera

brutessh – atak słownikowy na ssh

cewl – do tworzenia słowników

chntpw – zmienia hasła w systemach NT/2000/XP/Vista/7

dnsbruteforce – atak słownikowy dla serwer-ów DNS

email – program do wyciągania haseł z Outlook Express Thunderbird

network – program do wyciągania haseł sieciowych z systemu Windows

passwd-toolkit – bruteforce przeciw web auth

rarcrack – do łamania haseł w archiwum RAR

saltymd5 – do łamania hash-ów MD5

tftp bruteforce – atak na tftp

Archiwum zawiera jeszcze dużo innych programów, większość działa na Windows (oraz Wine), część działa na każdej platformie (Python, Perl)

Wszystko do pobrania tutaj:

http://chomikuj.pl/funtoo/s*c5*82ownik+aircrack/narz*c4*99dzia

Archiwa spakowane za pomocą Gzip oraz Zip.

Polski słownik dla łamiących metodą brute force (wordlist, aircrack)

NOWA WERSJA SŁOWNIKA DOSTĘPNA JEST NA:

http://backtrack.pl/polish-wordlist-project/

lub w systemie Backtrack.pl PREMIUM

 

 

informacje niżej są NIE AKTUALNE!

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Dla potrzebujących przygotowałem mój prywatny zbiór słowników do różnego rodzaju programów łamiących hasła. Słowniki są w formacie tekstowym, jedne linijka = jedno słowo, kodowanie znaków w 20% ISO-8859-2 75% US-ASCII 5% UTF-8. Słowniki działają z programami: aircrack-ng (WPA2/AES), zipcrack, rarcrack itp.

Niektóre słowniki mają po 500Mb dlatego też zostały mocno spakowane za pomocą LZMA2 (xz) pod linux-em rozpakowuje się je za pomocą: xz-utils pod Windows 7zip

Debian/Ubuntu: apt-get install xz-utils
Gentoo: emerge xz-utils
Arch: pacman -Ss xz-utils
Rozpakować archiwum (linux): xz -d nazwa_slownika.xz

Wszystkie słowniki są do pobrania tutaj: http://chomikuj.pl/funtoo/s*c5*82ownik+aircrack

Umieściłem je na chomiku bo z rapid-a zostały kilka razy skasowane bez przyczyny… słowniki nie są nielegalne!

Opis poszczególnych słowników:

polski – polskie słowa, kolekcja z gier typu literaki

pl_pr – polski słownik wzbogacony o proste popularne hasła POLSKIE

password 1-3 – lekko poprawione słowniki z BackTrack 3

wpa – słownik z Bt4 lekko skorygowany

mega – spory polski słownik, polskie proste hasła, proste zagraniczne hasła

tematyczne – kilka słowników tematycznych, nazwy aut, komputerów, imiona, typowe hasła itp. (bardzo skuteczny)

EDIT 2012-09-01: Nowe POLSKIE słowniki dostępne są na http://backtrack.pl/polish-wordlist-project/