Зловмисники спеціалізуються на компрометації мережевих маршрутизаторів в Бразилії

Нещодавно ми писали про масштабним DDoS-атаки, яка була організована ботнетом Mirai, що складається з пристроїв т. н. Internet of Things (IoT). Кібератака була настільки потужною, що призвела до збоїв у роботі найбільших інтернет-сервісів. Між тим, Mirai має в своєму арсеналі лише один спосіб компрометації роутерів — підбір стандартних паролів.

Подібні кібератаки на роутери спостерігалися ще з 2012 р., однак, у зв'язку зі значним збільшенням кількості працюючих роутерів останнім часом, ризик їх компрометації різко зростає. Враховуючи, що багато з них досі поставляються зі стандартними паролями, можна лише припускати якою величезною можна створити бот-мережу з таких пристроїв.

Цілком імовірно, що існують різні групи зловмисників, які здійснюють такі атаки. Тим не менш, способи атаки залишаються незмінними: вони або використовують відкритий доступ до маршрутизатора через слабку аутентифікації (ім'я користувача і пароль за замовчуванням) або уразливості в їх прошивках.

У такій схемі атак зловмисників цікавить зміна конфігурації DNS, установка бекдор для можливого віддаленого управління роутером шляхом доступу до нього за його публічному IP-адресою, а також установка для нього стандартного пароля з метою полегшити подальший доступ атакуючим до самого пристрою.

Спостережувані нами атаки були результатом перенаправлення користувача з шкідливою сторінки або рекламної мережі на веб-сторінку зловмисників, на якій розміщується шкідливий скрипт. Після цьогу скрипт намагається використовувати зумовлені комбінації імені користувача і пароля на локальному IP-адресі для конкретних типів маршрутизаторів. Користувачі скомпрометованих роутерів в основному працюють на веб-браузерах Firefox, Chrome або Opera. У такому разі веб-браузер Internet Explorer є більш безпечним з-за того, що він не підтримує нотацію «username:password@server», використовувану скриптами зловмисників. См. тут.

Зловмисники використовують атаку Cross-Site Request Forgery (CSRF) і атрибут style для ініціювання атаки. В одному конкретному випадку ми спостерігали атаку, яка була націлена на конкретний модем бразильського провайдера, який поставляється з наступними обліковими даними за замовчуванням «Admin: gvt12345»:



Що призводить до обміну наступними запитами.



Інші зловмисники отримували доступ до роутера через його зовнішній IP-адресу.



По ньому розташовуються подальші інструкції з оновлення» наступною веб-сторінки. Зовнішній IP-адресу роутера видно на цих сторінках нижче.



В іншому сценарії атаки, зловмисники використовують протокол IPv6 і елемент IFRAME. При цьому вони застосовують обфускацію тексту запитів, що збиває з пантелику не лише аналітиків, але і систему виявлення вторгнень (IDS).



Це призводить до генерації наступного трафіку в Chrome.



Ще одні злочинці приховують свої скрипти з використанням AngularJS — спеціального JavaScript фреймворку. Вони використовують його плагіни для шифрування і відображення фальшивої веб-сторінки. Автори розробили свій власний плагін, який спеціалізується на завантаження конфігураційних файлів, заснований на їх припущенні про роутері, обміні ключами, розшифровці конфігурації та його виконання.

Нижче представлена частина вихідних текстів AngularJS.



На скріншоті взаємодії нижче, запит GET /api/lockLinkss відповідає за завантаження конфігураційного файлу.



Нижче представлена частина розшифрованого файла конфігурації.



Починаючи з вересня, щоденне кількість жертв таких атак досягло цифри в 1,800, причому більшість з них припадало на Бразилію. Значна частина цих DNS-адрес були активними. Тим не менш, деякі з них не працювали взагалі, або відображали стандартну вітальну веб-сторінку. Незважаючи на те, що важко знайти саме ті веб-сторінки, які зловмисники намагалися використовувати для підміни, нам вдалося виявити їх.

У разі трансляції DNS за наступними адресами, які наведені нижче веб-сторінки виявляються підмінені.

banco.bradesco
142.4.201.184
166.62.39.18
167.114.109.18
167.114.7.109
185.125.4.181
185.125.4.196
185.125.4.244
185.125.4.249
185.125.4.250
185.125.4.251
216.245.222.105
45.62.205.34
63.143.36.91
64.71.75.140
74.63.196.126
74.63.251.102

santander.com.br
158.69.213.186

linkedin.com
198.23.201.234
Нижче представлений скріншот оригінального веб-сайту banco.bradesco, який був узятий 2016-08-31.



У разі використання вищенаведеного DNS, веб-сторінка banco.bradesco була замінена одним PNG зображенням, при цьому тільки поля введення імені користувача і пароля залишаються робочими.



Нижче представлений скріншот фішингової веб-сторінки станом на 2016-08-30 (DNS 142.4.201.184).



Інший фішинговий сайт нагадує свою легітимну версію цілком правдиво. IP-адреса 23.3.13.59 є легітимним IP-адресою банку. Даний сайт «www.banco.bradesco.com.br» перенаправляється на «banco.bradesco», який також належить банку, але його IP належить вже зловмисникам.



Нижче представлений скріншот цієї фішингової веб-сторінки станом на 2016-08-31 (DNS 185.125.4.181). Також зверніть увагу на те, що відсутня favicon.ico, а прапорець «запам'ятати мене» і кнопка «OK» помінялися місцями.



Висновок
Незалежно від того, яку мету переслідують зловмисники компрометацією роутера, тобто чи зацікавлені вони в організації простого фішингу або бекдор для управління роутером, сенс залишається один і полягає він у використанні слабких паролів облікових записів для доступу до роутера. Крім цього, зловмисники можуть використовувати існуючі численні вразливі типи роутерів. Такі уразливості описані за наступними посиланнями тут і тут. Тим не менше, найбільш поширеною метою зловмисників при компрометації роутерів залишається можливість підміни DNS.

Безпека роутерів набуває все більшого значення і організація фішингу зловмисниками не єдина причина цьому. Маючи доступ до роутера, зловмисники можуть успішно увійти в домашню мережу і перевірити її на присутність там інших підключених пристроїв. Від розумних телевізорів Smart TV до системи управління будинком і розумних холодильників. Існує безліч IoT-пристроїв, які можуть бути підключені до роутера і входити в домашню мережу.

Крім цього, самі IoT-пристрої також можуть бути уразливі через встановлених відомих або слабких паролів. Користувач може забути змінити пароль, або встановити на пристрій слабкий пароль, піддаючи пристрій додаткового ризику.

Рекомендації
Наступні рекомендації допоможуть вам не стати жертвою подібних атак.

  • Змініть ваш стандартний пароль роутера на більш надійний.
  • Перевірте налаштування роутера: для сторінки налаштувань DNS оптимальним вибором є 8.8.8.8 або 8.8.4.4, в іншому випадку слід звернутися за значенням до свого провайдера; відключіть налаштування віддаленого управління роутером.
  • Перевірити наявність оновлень для прошивки свого роутера.
  • Спробуйте пошукати інформацію про моделі вашого роутера і присутніх у ньому вразливостей.
  • Зверніться до свого провайдера за оновленням прошивки роутера або його заміни.
  • Використовуйте плагін блокування скриптів NoScript з включеною функцією ABE (Application Boundary Enforcer) у веб-браузері.
  • Регулярно перевіряйте свій роутер на присутністю в ньому вразливостей.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.