Вирус Chameleon распространяется по WiFi сетям как простуда среди людей

Original author: Pierluigi Paganini
  • Translation

Группа исследователей безопасности в университете Ливерпуля в Великобритании предоставили доказательство концепции, позволяющей заражать WiFi сети одним махом.
Исследователи продемонстрировали WiFi вирус, который получил название Chameleon, способный распространяться в сети так, как «простуда» распространяется между людьми, ученые сделали возможным заменить прошивку уязвимой точки доступа (Access Point, AP) инфицированной версией.
Chameleon, в случае заражения одной точка доступа, размножает себя на компьютеры, подключенные к ней, и ищет новые, неинфицированные Wi-Fi сети, что позволяет ему самостоятельно распространяться внутри беспроводных сетей, от точки к точке доступа.

Chameleon, является серьезной угрозой для ИТ-безопасности, ведь сценарий атаки использует WiFi сети и уязвимость заключается как раз в том, что нападение не может быть обнаружено любым из существующих защитных механизмамов, в том числе антивирусами и системами обнаружения вторжений (Wireless intrusion detection system, WIDS).

Таким образом, эта атака считается самой современной и трудно обнаружимой, так как для WIDS критериями обнаружения заражения AP обычно являются изменения в учетных данных, или трафике.

Распространение вируса происходит следующим образом:
1. Формируется список уязвимых точек доступа в текущем местоположении.
2. Выполняется взлом шифрования безопасности на AP.
3. Выполняется обход интерфейса администрирования AP.
4. Сохраняется резервная копия конфигурации AP.
5. Подменяется прошивка на уязвимых точках доступа, новой прошивкой, инфицированной вирусом.
6. Восстанавливаются настройки системы.
7. Вирус размножается на подключенные компьютеры (и опять к пункту 1).

Чтобы проанализировать поведение вируса был проведен лабораторный эксперимент, для которого были смоделированы сценарии поведения вируса в двух городах — Белфаст (Северной Ирландии) и Лондон (Англия). Их выбор не случаен, так как эти города, представляют большую (Лондон) и среднюю (Белфаст) инфраструктуры городской беспроводной сети, основанные на плотности точек доступа.

Следующие данные, относятся к двум регионами, в которых исследователи условно распространяли вредоносную программу.
В Белфасте содержится около 14 553 точек доступа, из которых 22% являются открытыми, 61% защищены WPA/WPA 2 шифрованием и 14% — WEP.
В Лондоне содержится около 96 433 точек доступа, из которых 24% являются открытыми, 48% имеют WPA/WPA 2 шифрование и 19% — WEP.

Инфекция начинаясь случайным образом с одной из точек доступа, смогла распространиться во всей сети через слабые точки доступа.
Ниже представлена динамика распространения вируса в зависимости от радиуса между точками доступа:

В случае, если 2 дня подряд модель не меняла своего состояния, то система выбирала случайную точку доступа для дополнительного инфицирования.
Этот эксперимент доказывает что плотность связи между точками доступа является более важным фактором распространения вируса, нежели уязвимость.

В теории такие географические районы с высокой плотностью точек доступа в большей степени подвержены заражениям.

"WiFi соединения становятся все большей мишенью для хакеров из-за хорошо известных уязвимостей, которые затрудняют обнаружение и защиту от вирусов", говорит Маршалл, один из авторов Chameleon.


Chameleon быстро прогрессирует в совершенно здоровой среде, но замедляется с ростом количества зараженных узлов (это отражено в таблице (чем теснее точки тем дольше идет заражение) и на графике).

В исследовании представлены также способы обнаружения вируса Chameleon с помощью мониторинга Wi-Fi пакетов. Такой подход является довольно специфичным, но в любом случае он может быть адаптирован для обнаружения вредоносных программ в дальнейшем.

Несмотря на то что Chameleon это просто экспериментальный продукт исследования, существует риск того, что в будущем киберпреступники будут использовать аналогичные стратегии для распространения вредоносного кода.

Ссылка на исследования — jis.eurasipjournals.com

От переводчика: данные исследования показались довольно смутными. Вроде бы и исследователи делают уклон на практику, но в то же время оригинальная статья дает только теорию, да и то в ограниченном количестве. Боятся послужить руководством для злоумышленников? Так ведь производителям точек доступа тоже бороться нужно. Плюс ко всему эксперимент довольно сферический. Мне кажется, открывая новую уязвимость такого масштаба, неплохо бы понаблюдать за ней в «живой среде».

Only registered users can participate in poll. Log in, please.

На данный момент это скорее видимость угрозы, но что если сам подход окажется рабочим. Что тогда?

  • 23.7%Защиту изобретут быстрее чем вирус выйдет из лаборатории115
  • 47.9%Наклейки на маршрутизаторах «Chameleon protected 100%» как маркетинговый ход233
  • 27.6%Programmable Read-Only Memory для хранения прошивки134
  • 26.8%Количество спама/рекламы/краж личных данных и т.д. возрастет на порядок и более130
  • 10.1%Вселенский апокалипсис в котором сильно пострадают WiFi сети49
  • 38.7%Врядли это зайдет дальше исследований188
  • 1.8%Свой вариант (оставлю в комментариях)9
Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 22

    +6
    «Ученые сделали возможным заменить прошивку уязвимой точки доступа (Access Point, AP) инфицированной версией.»
    По конкретике примерно как «Изобрели лекарство от всех болезней»
      +18
      Разнородность железа слишком большая, чтобы прошивать все подрят. Тем более многие роутеры не шьются альтернативной прошивкой из веб-морды.
        –5
        а что если это не полноценная прошивка, а оболочка над заводской?
        +8
        Chameleon, в случае заражения одной точка доступа, размножает себя на компьютеры, подключенные к ней
        Больше похоже на сценарий к средненькому фильму, чем на реальность — разные ОС и их версии, вообще разные типы компьютеров исключают возможность создания универсального «вируса». Я еще могу поверить в заражение ХР без установленных апдейтов, но такие машины успешно заражаются и традиционными средствами.

        Что касается точек доступа — пандемия такого плана звучит вполне устрашающе — так как сейчас отсутствуют напрочь автоматизированные средства установки апдейтов, а подавляющее большинство владельцев Wi-Fi-точек не смогут даже распознать их заражение, не говоря уже о том, чтобы самостоятельно обновить прошивку. Таким образом ботнет из мини-серверов, работающих 24х7, географически распределенных по миру — это существенная угроза.
          0
          Так такие ботнеты уже вроде-как есть. Пользователи же очень редко меняют логин и пароль на что-то приличное, а не стандартное admin:admin.
          www.xakep.ru/post/47568/
          +22
          Желтота, технических подробностей нету. Короче, ожидал увидеть другой ник
            –3
            Да в принципе и опубликовано для того что бы покритиковать такие заявления. Ну или может кто аргументов каких подкинет.
              +1
              В качестве критики: напрочь не вижу механизма, с помощью которого точка доступа может инфицировать компьютер. Переписать на него файл — ещё возможно, но запустить его на удалённой машине?
              Единственный кажущийся потенциально возможным подход — это неким непостижимым образом вызвать что-нибудь типа переполнения буфера у работающей на компьютере программы, модифицируя трафик, который она гоняет через точку доступа. Но, учитывая отсутствие прямого доступа к машине и универсальность предполагаемой заразы, подобный сценарий выглядит не более вероятным, чем высадка марсиан на Майдане.
                +2
                Да ну, регулярно происходит эксплутатация уязвимостей в ОС через интернет, а доверенная точка доступа имеет больше возможностей для заражения ПК.
                  +2
                  Точка доступа может активно атаковать подключенные машины, используя обновляемую базу експлойтов и полезных нагрузок и, например, подмешивать сплойты в http трафик.
                  • UFO just landed and posted this here
                      0
                      Верно, может быть реализован функционал, например, подобного рода — github.com/infobyte/evilgrade.
              • UFO just landed and posted this here
                • UFO just landed and posted this here
                  +4
                  Ох уж эти британские ученые…
                    0
                    Читал про этот Хамелеон в другом источнике, там была фраза что при заражении прошивка меняется на модифицированный OpenWRT. А уже его под много типы точек заточили. Ну и из жизни — у клиента постоянно похищали пароли Вконтактик и прочее на домашнем ноуте. Просканировал комп- ничего не обнаружено. Дело оказалось в модифицированных настройках WiFi точки — в частности «левый» DNS сервер.
                      +1
                      2. Выполняется взлом шифрования безопасности на AP.
                      3. Выполняется обход интерфейса администрирования AP
                      Ахаха, это примерно как "- а как ты все время выигрываешь во все игры? — Ну, главный секрет — никогда не умирать и хорошо играть".
                      Какой же звездец, ребята, исследование, хаха, я рыдаю.
                        –1
                        А самое обидное что хоть какие-то тех детали, которые известны — добыты из косвенных источников. Оригинал же статьи пестрит только громкими заявлениями, да полон «водички». Вот и опубликовали бы хоть немного информации, чем же их метод столь уникален.
                        +1
                        Свой вариант (оставлю в комментариях)
                        Российское правительство запретит или ограничит использование Wi-Fi под предлогом борьбы с компьютерными вирусами, а на самом деле — для устранения возможности находить альтернативу разрушаемому Интернету в лице mesh-сети или иной сети с внеинтернетовскими беспроводными соединениями пользователей.
                          0
                          Тема интересная. Участвовал в небольшой дискуссии по ней. Теоретически, создание червя возможно, но не так как описывается в статье. Червь должен ориентироваться на определенное железо и возможно, даже на определенные версии прошивок. Допустим, зараженное устройство смогло подключиться к соседней сети. Во первых, это уже делает возможным обнаружение факта заражения, т.к. перестанет работать сеть которую устройство обслуживало. Т.е. тут одно из двух: либо работать в нормальном режиме и выполнять свои функции, либо ломать соседей. Одновременно не бывает. И во вторых: какого размера должна быть база известных устройств, чтобы существовала вероятность того, что атакующее устройство смогло сменить прошивку роутера сети в которую оно проникло?

                          Второй вопрос — экономическая целесообразность. Теоретически червь возможен, но какова стоимость его разработки? Как ни крути, но цель реального компьютерного злодея — заработать денег. Пока есть люди с паролями 12345 и люди запускающие бинарник пришедший по почте от неизвестного, пока есть криворукие админы вывешивающие уязвимые (для которых существуют эксплоиты в паблике) сервисы в интернет — злодей не будет морочится с созданием высокотехнологичного вируса. Злодей не глуп, но он идет путем наименьшего сопротивления.

                          И собственно по теме статьи. Я правильно понял, что британские ученые создали вирус который ломает шифрование(wpa2), а затем ломает админку и через нее меняет прошивку и все это на произвольном устройстве?
                            +2
                            Вы чего так серьёзно всё восприняли? Это же британские учёные.
                              0
                              Ученый_изнасиловал_журналиста.png
                              Никакой конкретики, ни как обходится шифрование AP (WPA2), ни какие модели AP, версии прошивок подвержены, вообще ни какой конкретики, скорее всего удалось взломать определенную модель точки доступа с определенной прошивкой в определенных условиях и перепрошить, а журналисты раздули до текущей новости. Что касается заражения компьютеров, даже комментировать не хочется, сколько версий ОС, фаирволов, средств изоляции выполнения кода и т.п.

                              Only users with full accounts can post comments. Log in, please.