Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (73)
  • добавить в избранное
    Добавить в закладки

Под внешним контролем

Прочитали: 4901 Комментариев: 127 Рейтинг: 293

Вы открыли браузер и вместо привычного стартового окна открылся неизвестный вам сайт?

Страница банка внезапно запросила авторизационные данные?

Многие пользователи в такой ситуации запускают антивирусную проверку. И если ничего не будет найдено, некоторые из них обращаются в техническую поддержку. Это нормальная реакция, но не единственно верная.

Злоумышленники всегда в поиске места в системе, где можно укрыться от внимания антивирусов. Но в случае операционных систем Windows/Linux/Mac таких мест практически нет. Конечно, есть вероятность размещения вредоносного кода в микрокодах ядра, сетевой карте или аккумуляторе, но эта вероятность крайне мала — возможности таких заражений, как правило, существуют лишь в исследованиях.

Компания Dell предупредила некоторых пользователей серверов PowerEdge R310, PowerEdge R410, PowerEdge R510 and PowerEdge T410 о том, что материнская плата сервера может содержать встроенное зловредное программное обеспечение. Согласно опубликованной на форуме технической поддержки Dell информации, небольшая партия материнских плат PowerEdge R410, отправленная клиентам компании, содержала некий вредоносный код, внедренный во встроенное ПО для управления сервером.

http://en.community.dell.com/support-forums/servers/f/956/t/19339458
http://www.channelregister.co.uk/2010/07/21/dell_server_warning
http://ria.ru/science/20100721/257059385.html#ixzz4CV0afA4N

Как правило, проблема совсем в другом.

В результате действия троянца Trojan.Rbrute при попытке открытия в окне браузера различных веб-сайтов пользователь может быть перенаправлен на другие ресурсы, специально созданные злоумышленниками.

В целом используемая злоумышленниками схема выглядит следующим образом.

  1. На компьютер, уже инфицированный троянцем Win32.Sector, с использованием этой вредоносной программы загружается Trojan.Rbrute.
  2. Trojan.Rbrute получает с управляющего сервера задания на поиск Wi-Fi-маршрутизаторов и данные для подбора паролей к ним.

    Вредоносная программа обладает функционалом по подбору паролей к следующим моделям Wi-Fi-роутеров: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII и некоторым другим.

    В качестве логина Trojan.Rbrute использует значения admin или support.

  3. В случае успеха Trojan.Rbrute подменяет в настройках роутера адреса DNS-серверов.
  4. При попытке подключения к Интернету пользователь незараженного компьютера, использующий подключение через скомпрометированный маршрутизатор, перенаправляется на специально созданную злоумышленниками веб-страницу.
  5. С этой страницы на компьютер жертвы загружается троянец Win32.Sector и инфицирует его.

http://news.drweb.com/show/?c=5&i=4271&lng=ru

Кроме показа нужной злоумышленникам страницы, изменение настроек роутера может использоваться и в более сложных схемах атак.

Отличительной чертой атаки с использованием троянца Trojan.Dyre было размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации.

http://news.drweb.com/show/?c=5&i=9829&lng=ru

Как правило, взлом роутеров производится либо подбором паролей (многие пользователи не заботятся о смене заводских настроек защиты роутеров, а некоторые вообще не рассматривают их как точку возможного проникновения во внутреннюю сеть), либо с использованием уязвимостей.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.PNScan.1, предположительно устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1.

http://news.drweb.com/show/?c=5&i=9548&lng=ru

Атакуются не только домашние роутеры, но и сетевые устройства, используемые в компаниях.

Представители компании Mandiant опубликовали результаты исследования бэкдора SYNful Knock для маршрутизаторов Cisco.

С помощью «зашитого» в образ пароля злоумышленники могут получать удаленный доступ к маршрутизатору через консоль или telnet. Закладки активируются каждый раз после перезапуска устройства. Для подмены ОС используются похищенные учетные данные и стандартные пароли администратора (пользователи часто забывают сменить дефолтный пароль).

По данным исследователей, атаке подвержены маршрутизаторы Cisco моделей 1841, 2811 и 3825.

Описанная атака похожа на метод, который в августе текущего года представили сами сотрудники Cisco. Тогда компания предупреждала клиентов о том, что злоумышленники могут подменять прошивку ROMMON (ROM Monitor) на вредоносную копию. При этом также не использовались какие-либо уязвимости, а доступ к устройству хакеры получали с помощью реальных учетных данных, что может свидетельствовать о том, что в атаке принимали участие сотрудники организации — владельца маршрутизатора или люди, имевшие физический доступ к устройству.

Атака не является специфичной только для маршрутизаторов Cisco: подобным образом можно атаковать сетевые устройства различных производителей оборудования. В частности, различные исследователи публиковали информацию о взломе прошивки оборудования Juniper.

https://habrahabr.ru/company/pt/blog/267141

#троянцы #взлом #роутер #браузер

Dr.Web рекомендует

  • Для доступа к внешним сетевым устройствам нельзя использовать пароли по умолчанию, их необходимо сменить сразу после установки.
  • Обновляйте прошивку устройств с целью удаления уязвимостей.
  • Загружайте прошивку только из официальных источников.
  • На компьютерах и устройствах, с которых вы управляете сетевыми устройствами, необходимо использовать антивирус.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: