Archiwa tagu: wirus

BotNet router! Wirus blokuje routery i używa ich do ataków DoS!

Kiedyś przeczytałem o tym w internecie, BotNet atakujący routery… wydawało mi się , że jest to totalna bzdura. Okazuje się, że nie! Dziś trafiły w moje ręce trzy zablokowane routery firmy TP-Link i D-Link. Były to modele WR1043ND WR841ND oraz D-Link DIR-615. Wszystkie routery po uruchomieniu działają normalnie, mają nawet SSID i hasło które wybrał sobie użytkownik na FABRYCZNYM SOFCIE! Niestety po wpisaniu 192.168.1.1 pokazuje się strona informacyjna systemu DD-WRT próba logowania zawsze kończy się niepowodzeniem. Router nie odpowiada na przycisk WPS oraz reset, zawsze startuje z wcześniej wybranym SSID-em. Zainfekowany router tworzy dodatkowy SSID którego nie rozgłasza, jest to pnet_XXXXXX, gdzie XXXXXX to koniec adresu MAC interfejsu wifi. Hasło do sieci jest takie samo jak SSID z tym że jest odwrócone czyli: XXXXXX_pnet. Po zalogowaniu na 192.168.1.1 nie musimy podawać hasła ani login-u, mimo to konfiguracja jest nadal zablokowana. Informacje wyświetlane przez router na stronie „STATUS” są FIKCYJNE, klienci którzy masowo łączą się z naszym AP nie istnieją. Po analizie danych przesyłanych przez router wynika że łączy się on z kilkoma różnymi adresami IP, podejrzewam że są nimi inne zainfekowane routery od których dostaje instrukcje. 99% czasu nic się nie działo, ale po około 8h router zaczął wysyłać pakiety UDP na jeden adres IP (w tym wypadku POLSKI!)

Router da się odblokować! Potrzebna do tego jest konsola szeregowa, po jej podłączeniu musimy nadpisać cały firmware. Ja profilaktycznie nadpisałem cały firmware a potem wymieniłem bootloader-a (w moim wypadku redboot) i z poziomu bootloader-a wymieniłem system na prawdziwy DD-WRT.

Osoby które dostarczyły mi router mówiły że ustawiły trudne hasło na WebGUI i nie miały załadowanego DD-WRT tylko oficjalne oprogramowanie. Wygląda na to że wirus używa metody słownikowej lub jakiegoś exploita aby dostać się do routera, po czym wymienia oprogramowanie na zmodyfikowane DD-WRT i tak zmieniony, udaje normalną prace.

Nie da się ani odczytać komend sterujących ani odszukać IP sterujące ponieważ transmisja sterująca przychodzi z różnych adresów IP (podejrzewam że od innych zainfekowanych) a dodatkowo całość jest szyfrowana.

Każdą osobę która posiada tak zablokowany sprzęt zapraszam na forum, bardzo chętnie pomogę w odblokowaniu. Osobą z rejonu miast: Kraków, Katowice, Wrocław jestem w stanie pomóc osobiście.

Aktualnie udało mi się odblokować modele:

TP-Link WR1043ND

TP-Link WR841ND

D-Link DIR-615 A1

Update: Okazuje się że istnieje już nowsza wersja zainfekowanego router-a która po podłączeniu konsoli szeregowej wyświetla obrazek w ASCII:

Zmienił się też ukryty SSID, na sam adres MAC. Niestety nie pasuje wcześniejsze hasła, bez dostępu do konsoli nie da się go odczytać. Od tego momentu jedyny sposób naprawy to JTAG lub wymiana pamięci flash. Dodatkowo nowe oprogramowanie wprowadza reklamy, które wyskakują w zastępstwie strony którą chcemy załadować, ponowne załadowanie strony (po kilku sek.) powoduje, że zaczyna się ładować właściwa strona.

Lista znanych i możliwych do zainfekowania sprzętów:

TP-Link WR1043ND

TP-Link WR2543ND

TP-Link MR-3220 MR3420 MR3440

TP-Link WR841ND

D-Link DIR-615

D-Link DIR-600

D-Link DIR-815

Linksys E4200 (oraz praktycznie cała seria E)

La Fon 2100 oraz 2200

Jak ukryć zmienić swój adres IP? (tunel VPN, Proxy, Tor)

Jest wiele celów dla których chcemy zmienić adres IP, są te dobre i te złe. Dla mniej zorientowanych napiszę do czego nadaje się dany sposób zmiany adresu.

1. Dynamiczny adres IP.

Niektóre usługi takie jak np. Neostrada, Netia Net24, Netia WiMax wymuszają na użytkowniku zmianę adresu co 24h lub co logowanie. Jest to dobre i złe, ponieważ z jednej strony można pobierać pliki z wielu portali mimo ograniczeń, logować się na portale wielokrotnie itp. Niestety dostęp do niektórych usług na zakresach dynamicznych adresów IP jest zablokowany domyślnie przez wielu operatorów, właśnie dlatego że niektórzy nie mają hamulców. Nie polecam jednak robić niczego mało legalnego bo to że adres IP się zmienia nie oznacza że operator nie wie kto i kiedy był na danym adresie. Szczególnie Telekomuna monitoruje tego typu aktywność.

2. VPN – Virtual Private Network a raczej szyfrowane lub nie tunele.

Są to usługi darmowe lub nie, można się do nich połączyć za pomocą odpowiedniego oprogramowania. Po instalacji aplikacje zazwyczaj tworzą w naszym systemie wirtualne urządzenie sieciowe które kieruje cały ruch przez tunel a nie bezpośrednio przez nasze łącze.

Jest kilka usługo dawców należą:

  • Packetix – darmowy, bez reklam, brak limitów transferu, limit prędkości
  • HotSpot Shield – darmowy, masa reklam, brak limitów transferu, brak limitów prędkości
  • Hamachi – darmowy, brak limitów transferu (bardzo polecany ja nie testowałem)
  • UltraVPN – darmowy, wymaga rejestracji
  • CyberGhost – darmowy i płatny z limitami
  • Gpass – darmowy, limity

Jest to bardzo dobry wynalazek jeżeli chodzi o zabezpieczenie swojej prywatności w wielu darmowych HotSpot-ach gdzie nie ma szyfrowania, niestety zazwyczaj czas odpowiedzi zwiększa się diametralnie a niektóre porty/usługi są zablokowane. Często jedyny dostępny port to 80 (http). Plusy są takie że operatorzy to zazwyczaj zagraniczne firmy.

3. Proxy – serwery pośredniczące, jest ich masa, listy takich otwartych serwerów są dostępne z internecie na wielu stronach np. http://www.samair.ru/proxy/ aktualizowane często łatwe do podłączenia.

Wady są takie że 99,9% tych serwerów przewiduje połączenie tylko na 80 port, chyba że to Socks. Nie zapewniają szyforwania. Plusów jest więcej, duża ilość takich proxy, spora anonimowość, brak limitów, lokalizacja w różnych krajach włącznie z chinami, mozambikiem, sporo programów do dynamicznej zmiany serwera proxy a także ich szybkiego testowania.

4. Tor – wirtualana sięc komputerowa implementująca trasowanie cebulowe. Wykorzystuje wielowarstwowe szyfrowanie a ruch pomiędzy routerami jest okresowo zmieniany na inny obwód co skutecznie uniemożliwia analizę. Sieć składa się z dobrowolnych ochotników lub wyznaczonych serwerów. Wada to bardzo różna raczej słaba przepustowość, spory ping. Zalety to całkowita prywatność, brak możliwości namierzenia źródła, duże możliwości, łatwe połączenie SOCKS.

Zastosowanie bardzo szerokie, ale nie nadaje się do ściągania dużych plików, grania w gry itp.

KONIEC, życzę miłego oglądania MegaVideo ;P

BINDER: bindowanie plików (file binder albo joiner)

binderWiele osób ostatnio pyta lub poszukuje binder-a do plików, najlepiej takiego którego anty wirusy nie wykryją i nie skasują.

Faktycznie na pierwszy rzut oka może się to wydać problemem, ale w rzeczywistości jest ich parę, a na dodatek istnieją takie które mało,że nie są wykrywalne to jeszcze nigdy nie będą 🙂

Wyda się to śmieszne i banalne ale MS udostępnia nam takowe w swoim systemie.

Pierwszy i super prosty binder to polecenie COPY w linijce poleceń.

Używa się tego tak:

W ten sposób można łączyć różne pliki np. rar + jpeg tak że będzie widać tylko obrazek a zawartego w nim rar nie. Próbowałem robić taki myk z zip, 7zip, ace, uha i działa 😉

Kolejny binder jaki daje nam MS to iexpress.exe które daje nam możliwość władowania kilku plików exe, które po rozpakowaniu zostaną odpalone. Można też zmienić ikonę, ale do tego trzeba reshack.exe

I to chyba tyle co daje nam MS, ale są inne programy które nam mogą pomóc…

Na stronie WinZip można odszukać coś o nazwie WinZip Self-extract

http://www.winzip.com/prodpagese.htm

Wystarczy że spakujemy dwa pliki .exe + .bat w którym napiszemy:

a.exe

b.exe

i podczas przerabiania Zip za pomocą WinZip Self-Extract podamy ./start.bat (który jest w naszym archiwum) a oba pliki zostaną odpalone.

Podobne właściwości mają też inne pakowacze, takie jak np. WinAce, WinUha, WinRar …

Nie pytajcie o binder skoro go macie, a w razie problemów technicznych pytania kierujemy na moje forum.