Под внешним контролем

Незваные гости

добавить в избранное

Под внешним контролем

Прочитали: 10961 Комментариев: 72 Рейтинг: 303

5 июля 2016

Вы открыли браузер и вместо привычного стартового окна открылся неизвестный вам сайт?

Страница банка внезапно запросила авторизационные данные?

Многие пользователи в такой ситуации запускают антивирусную проверку. И если ничего не будет найдено, некоторые из них обращаются в техническую поддержку. Это нормальная реакция, но не единственно верная.

Злоумышленники всегда в поиске места в системе, где можно укрыться от внимания антивирусов. Но в случае операционных систем Windows/Linux/Mac таких мест практически нет. Конечно, есть вероятность размещения вредоносного кода в микрокодах ядра, сетевой карте или аккумуляторе, но эта вероятность крайне мала — возможности таких заражений, как правило, существуют лишь в исследованиях.

Компания Dell предупредила некоторых пользователей серверов PowerEdge R310, PowerEdge R410, PowerEdge R510 and PowerEdge T410 о том, что материнская плата сервера может содержать встроенное зловредное программное обеспечение. Согласно опубликованной на форуме технической поддержки Dell информации, небольшая партия материнских плат PowerEdge R410, отправленная клиентам компании, содержала некий вредоносный код, внедренный во встроенное ПО для управления сервером.

http://en.community.dell.com/support-forums/servers/f/956/t/19339458
http://www.channelregister.co.uk/2010/07/21/dell_server_warning
http://ria.ru/science/20100721/257059385.html#ixzz4CV0afA4N

Как правило, проблема совсем в другом.

В результате действия троянца Trojan.Rbrute при попытке открытия в окне браузера различных веб-сайтов пользователь может быть перенаправлен на другие ресурсы, специально созданные злоумышленниками.

В целом используемая злоумышленниками схема выглядит следующим образом.

На компьютер, уже инфицированный троянцем Win32.Sector, с использованием этой вредоносной программы загружается Trojan.Rbrute.
Trojan.Rbrute получает с управляющего сервера задания на поиск Wi-Fi-маршрутизаторов и данные для подбора паролей к ним.
Вредоносная программа обладает функционалом по подбору паролей к следующим моделям Wi-Fi-роутеров: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII и некоторым другим.

В качестве логина Trojan.Rbrute использует значения admin или support.
В случае успеха Trojan.Rbrute подменяет в настройках роутера адреса DNS-серверов.
При попытке подключения к Интернету пользователь незараженного компьютера, использующий подключение через скомпрометированный маршрутизатор, перенаправляется на специально созданную злоумышленниками веб-страницу.
С этой страницы на компьютер жертвы загружается троянец Win32.Sector и инфицирует его.

http://news.drweb.com/show/?c=5&i=4271&lng=ru

Кроме показа нужной злоумышленникам страницы, изменение настроек роутера может использоваться и в более сложных схемах атак.

Отличительной чертой атаки с использованием троянца Trojan.Dyre было размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации.

http://news.drweb.com/show/?c=5&i=9829&lng=ru

Как правило, взлом роутеров производится либо подбором паролей (многие пользователи не заботятся о смене заводских настроек защиты роутеров, а некоторые вообще не рассматривают их как точку возможного проникновения во внутреннюю сеть), либо с использованием уязвимостей.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.PNScan.1, предположительно устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1.

http://news.drweb.com/show/?c=5&i=9548&lng=ru

Атакуются не только домашние роутеры, но и сетевые устройства, используемые в компаниях.

Представители компании Mandiant опубликовали результаты исследования бэкдора SYNful Knock для маршрутизаторов Cisco.

С помощью «зашитого» в образ пароля злоумышленники могут получать удаленный доступ к маршрутизатору через консоль или telnet. Закладки активируются каждый раз после перезапуска устройства. Для подмены ОС используются похищенные учетные данные и стандартные пароли администратора (пользователи часто забывают сменить дефолтный пароль).

По данным исследователей, атаке подвержены маршрутизаторы Cisco моделей 1841, 2811 и 3825.

Описанная атака похожа на метод, который в августе текущего года представили сами сотрудники Cisco. Тогда компания предупреждала клиентов о том, что злоумышленники могут подменять прошивку ROMMON (ROM Monitor) на вредоносную копию. При этом также не использовались какие-либо уязвимости, а доступ к устройству хакеры получали с помощью реальных учетных данных, что может свидетельствовать о том, что в атаке принимали участие сотрудники организации — владельца маршрутизатора или люди, имевшие физический доступ к устройству.

Атака не является специфичной только для маршрутизаторов Cisco: подобным образом можно атаковать сетевые устройства различных производителей оборудования. В частности, различные исследователи публиковали информацию о взломе прошивки оборудования Juniper.

https://habrahabr.ru/company/pt/blog/267141

#троянцы #взлом #роутер #браузер

Антивирусная правДА! рекомендует

Для доступа к внешним сетевым устройствам нельзя использовать пароли по умолчанию, их необходимо сменить сразу после установки.
Обновляйте прошивку устройств с целью удаления уязвимостей.
Загружайте прошивку только из официальных источников.
На компьютерах и устройствах, с которых вы управляете сетевыми устройствами, необходимо использовать антивирус.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Sergey
06:56:30 2020-03-18

Авторам спасибо за полезные советы. Возьму себе на вооружение.

Rider
17:17:22 2018-12-10

Прочитал,полез менять пароль на роутере )

Toma
13:55:30 2018-09-19

Всегда нужно использовать антивирус! Спасибо за рекомендации!

Денисенко Павел Андреевич
22:25:32 2018-08-02

На всех устройствах необходимо использовать антивирус, желательно комплексную защиту.

vasvet
06:13:11 2018-04-05

Советы хорошие. Надеюсь помогут.

alex-diesel Собкор
13:14:09 2018-03-10

Не устаю удивляться и даже чуть-чуть восхищаться изобретательностью и настойчивостью кибер-преступников. Чертовски жаль, что их творчество и таланты работают со знаком минус.

Natalya_2017
10:20:23 2017-04-10

Спасибо, ознакомилась!

Любитель пляжного футбола Собкор
21:21:06 2017-02-18

Просто нужно не полениться сменить стандартный пароль. По крайней мере чтобы интернетом не пользовались соседи и не падала, соответственно, его скорость (если Wi-Fi включен).

Пaвeл Собкор
09:03:54 2017-01-11

Спасибо! Интересная статья.

Ruslan
16:23:16 2016-11-03

Очень полезная и познавательная статья.Спасибо!

Andromeda
15:54:41 2016-10-10

Взято на вооружение.

rustamdiy15
10:57:40 2016-08-29

Очень интересно. Спасибо!!!!

1milS
20:32:24 2016-08-23

мспасибо

Andrew344
22:51:01 2016-07-29

Интересно. Я даже не знал что такое бывает.

2018
18:44:27 2016-07-29

Это как на ноутбуке были модифицированы файлы для восстановление ОС - то есть для ее переустановки. Нужно ставить с другого образа. Так и здесь с прошивками.
Кстати обычный юсб модем для 3 джи не прошивал сторонними прошивками, а использовал только стороннюю программу работы с модемом.

tigra Собкор
07:36:59 2016-07-21

информативно.

Evgen
12:11:08 2016-07-08

Своевременная информация,спасибо.

sania2186
11:31:07 2016-07-06

Обновляйте прошивку устройств

Неуёмный Обыватель Собкор
11:12:59 2016-07-06

@KK, фуф... ну можно сказать успокоили чуток :) Поставим себе в планировщик, раз в квартал смену админ-паролей на всякий случай, неважно есть у меня какая-нибудь зараза или нет. Это недолго, зато спокойней

Кирилл
10:53:42 2016-07-06

@Неуёмный_Обыватель, если честно, то я не знаю точно, сколько попыток в секунду может совершать такой троян, пытающийся подобрать пароль к роутеру. Но давайте предположим, что это КАК МИНИМУМ не быстрее, чем попытка расшифровать хэш брутфорсом, т.е. не более, скажем, миллиона попыток в секунду. Пароль всего из 8 символов (из пула 96 разных символов) при такой скорости будет взламываться месяца три. В общем, тут, по-моему, вам можно будет спать спокойно :)

Неуёмный Обыватель Собкор
02:57:39 2016-07-06

В случае с SYNful Knock для маршрутизаторов Cisco всё выглядит достаточно "странно", особенно учитывая, что рекомендации Cisco сводятся к "приобрести новое оборудование" и то, что коснулась эта эпопея тех, кто не имел сервисных контрактов на поддержку оборудования. К тому же первой об уязвимости сообщила сама компания в прошлом году, а потом через некоторое время, "кто-то таки воспользовался"

Неуёмный Обыватель Собкор
02:45:04 2016-07-06

А ведь действительно очень часто, покупая какое либо устройство, пользователи не то что не меняют дефолтные админские пароли, но иногда даже и не догадываются об их существовании. Причин основных 3.
-
Самая распространенная - "да что там можно прочитать в этом руководстве пользователя? я и так всё сделаю".
-
Вторая по распространенности, как мне кажется, то что настройку оборудования делает специалист провайдера/приходящий мальчик/сосед-добродетель. Что от них требуется? Правильно, обеспечить доступ к интернету или работу сети. Создали пользовательский логин-пароль, показали, что работает и ушли. На админские пароли им или плевать или, что еще хуже - имеют личный интерес относительно них.
-
Ну и третья причина - лень. Человек всё знает, но не делает это сразу и потом забывает, либо же считает, как обычно, что и так пронесет

Sasha50 Собкор
02:22:00 2016-07-06

Прочитал, задумался, сменил логин и пароль на маршрутизаторе.

В...а
22:58:21 2016-07-05

не поверю ему

kva-kva
22:33:40 2016-07-05

Технично!

mk.insta
22:32:02 2016-07-05

злодейски

Argentum
22:20:42 2016-07-05

таки пытаемся следовать "заветам" защиты, но

Неуёмный Обыватель Собкор
21:49:25 2016-07-05

@KK, и всё же. Хоть я и понимаю, что всё относительно и зависит и от мощности ПК и от сложности пароля (больше от длины). Допустим, сделаем 20-ти символьные пароли, соблюдая рекомендации по созданию паролей. Сколько может потребоваться времени в СРЕДНЕМ(не полностью все возможные комбинации) для подбора такого пароля по вашим оценкам? Ну, чтобы составить для себя некий график смены паролей :)

Альфа
21:46:48 2016-07-05

Все эти рекомендации от Dr. Web выполняем, но за напоминание-спасибо.

Роза
20:44:44 2016-07-05

Прочитала , надеюсь поняла все правильно .

Deniskaponchik Собкор
18:53:54 2016-07-05

Информация сложная, но полезная.

Viktoria
18:44:23 2016-07-05

Полезно было обновить свои знания.

Zevs_46
18:10:45 2016-07-05

Ознакомился. Спасибо.

Nikodim2011 Собкор
18:04:56 2016-07-05

Уязвимости имеются везде. И в программном обеспечении и в прошивках и т.д. Алгоритм действий прктически везде и во всем одинаков - внимательность и осторожность, что включает установку и настройку антивируса, смена паролей на всех устройствах и аккаунтах и т.д. Важно не только знать, где подстерегает беда, но и помнить о том, как действовать в каждой конкретной ситуации.

Вячeслaв Собкор
17:10:22 2016-07-05

@azzimutt, периодически, когда я смотрю состояние ИБ по миру - точнее поголовное игнорирование правил безопасности со всех сторон - мне становится совершенно непонятно, как все это держится

SEVGENIUS
17:05:30 2016-07-05

Спасибо за информацию, если такой подцепится, это же можно всю систему снести пытаясь вылечить, а вся проблема будет в роутере, но хотелось бы верить, что это не будет массовым. Так же было привычного стартового окна открывался неизвестный рекламный сайт. DrWeb удалил пару вредоносных приложений, но всё равно открывался вредоносный сайт, оказалось вирус прописал себя в ярлык иконки браузера.

bob123456 Собкор
17:04:13 2016-07-05

@bob123456, Вот пример такой программы для скана Вай-Фай сетей: https://www.acrylicwifi.com/ru/

bob123456 Собкор
17:03:28 2016-07-05

@dyadya_Sasha, Мало того, что всем известны пароли заводских настроек. Есть даже вполне легальные программы, которые позволяют сканировать Вай-Фай сети и высвечивают заводские логины и пароли. И если злоумышленник видит, что заводские настройки совпадают с реальными, то ему и ломать-то ничего не приходится. Так что роутер с заводскими настройками вообще не принадлежит своему владельцу.

Кирилл
16:53:42 2016-07-05

@azzimutt, в таком случае вы уже в относительной безопасности.

azimut
16:52:31 2016-07-05

@м...ч, Если есть из чего выбирать, естественно следует обращать внимание на возможность самостоятельной смены пароля и возможность установки обновлений, а если нет, приходится ездить на тех санях что дали.
@KK, Попытка использования дефолтных паролей была предпринята сразу же, но к сожалению не прокатило, пароль был изменён...

razgen Собкор
16:50:13 2016-07-05

Пароль и логин доступа к роутеру необходимо сменить сразу после установки. Здесь опасность подстерегает даже без троянца. Роутер, в который подключён кабель с интернетом от провайдера, раздаёт его (интернет) в окружающее пространство, сигнал доступен в квартирах как своего так и соседних подъездов дома. Поэтому довольно часто взлом роутеров производится подбором паролей. А здесь уже от антивируса ничего не зависит. Это беспечность пользователя.

Кирилл
16:05:38 2016-07-05

@azzimutt, как сказал мне мастер, подключавший услугу - пароля я вам не скажу, но если вы посмотрите в интернете дефолтный пароль к этой модели роутера, то кто знает...

@dyadya_Sasha, ну дефолтные пароли - это понятно, тут и десятка комбинаций под каждый отдельный девайс не нужен.

dyadya_Sasha Собкор
16:02:24 2016-07-05

@Неуёмный_Обыватель, @KK, "Сидит потихоньку подбирает, вредина, используя мощности моего же компьютера.""А пока это очень долгое время длится..." Думаю, все происходит быстро и просто : Логины и пароли в заводских настройках указанных роутеров(а это наиболее популярные) известны, большинство из них одинаковы и достаточно перебрать десяток комбинаций, чтобы получить более чем положительный результат. Хоть и как говорит @GREEN "Оставлять заводские настройки на активных сетевых устройствах...Это НОНСЕНС" мало кто меняет логины и пароли заводских настроек. Это не НОНСЕНС, а как всегда незнание, безответственность и пофигизм.

dyadya_Sasha Собкор
15:44:48 2016-07-05

Давно собирался сменить пароль на роутере. Теперь еще и в настройках всё перепроверю. Спасибо за очередной пинок- напоминалку того, что хотел , но не сделал.

DrKV Собкор
15:42:18 2016-07-05

Как же вовремя вышел этот выпуск!
Спасибо за подсказку.

A1037
15:38:34 2016-07-05

Всегда начеку!

vaki
14:59:34 2016-07-05

Пароли менять обязательно!

Вячeслaв Собкор
13:56:40 2016-07-05

@azzimutt, вопрос хороший и типичный для оборудования и интернета вещей. Пожалуй совет состоит в поговорке "готовь сани летом". При выборе оборудования и различных iot-устройств нужно обращать внимание на возможность самостоятельной смены пароля и возможность установки обновлений, закрывающих выявленные уязвимости

azimut
12:33:14 2016-07-05

А как быть, если оборудование по договору предоставляется провайдером, и доступа к каким либо настройкам вообще нет!?

Геральт Собкор
12:13:52 2016-07-05

За советы спасибо!!!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Под внешним контролем

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей