Comments 69
Ведь наверняка на зараженном должны быть запущенны какие-нибудь определенные процессы и/или иметься какие-нибудь специфичные файлы…
Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.
плюс интересно, есть ли способ этот модуль триггернуть.
Там список файлов и их md5
Ну я определил так (что мой роутер взломали) - внезапно настройки привязки IP MAC на моём устройстве поменялись, а когда я вернул всё обратно - мне просто закрыли доступ к роутеру) Второй роутер в сети вообще дефейснули и через веб панель ничего не меняется)))
Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен.
Эммм, а разве браузер не должен заорать на такой даунгрейд соединений?
А то, что вирус эволюционирует, это может значить, что тот сервер, который ФБР изъяли, был или не главным, или вообще ханипотом.
Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.
Являлись. Микротики заткнули дыру уже больше года назад. Достаточно ROS обновить, и все.
Афторы «новостей» такие афторы. Бери больше, переводи быстрее.
6.40.4 — уязвима?
What's new in 6.38.5 (2017-Mar-09 11:32):
...
!) www - fixed http server vulnerability;
...Ваша же версия 6.40.4, хоть и ветке release (другими словами, вы сами выбрали «быть поближе к багам и фичам»), но вышла 2 октября 2017.
Ну а вообще, эта «дыра» была дырой только для тех, кто веб-морду не закрыл от доступа «из мира» — что, полагаю, сделал все же каждый уважающий юзер. Тем более что с winbox веб и в принципе не нужен.
Это где-то на форуме микротика спросить бы, тем более что обновление у них встроенное, значит, статистика может и собираться. Но вопрос, кто что наружу открывает. Оставить ssh, закрыл к нему доступ с нескольких всего ip — живи спокойно. А по фен-шую чтобы — закрыть все, кроме api-ssl, да и тот — с адреса управляющей машины.
Вот остальные девайся по списку — это да, там может быть и печально.
Да, про эту уязвимость пишут расплывчато, что то не понятно было уязвим или нет.
доступ снаружи я закрыл через 30 минут, после первого включения, зашел в лог а в логе попытки логина из вне…
Ну у них позиция другая: купил, и в сторону отойди, не мешай дальше продавать!
Но есть же *wrt — кто мешает рискнуть?
Единственный минус всего этого — это отсутствие поддержки аппаратного NAT и шифрования (если они есть, конечно же).
export compact file=compromised.rsc, сохранил файл на всякий случай и максимально глубоко его бы сбросил, а потом залил прошивку последнюю. Ну и стоит отправить человеку на пиво)А вот это интересно. Очень. На форуме МТ бы написать об этом, да и правила бы показать, которые блокируют. Получается, МТ отчитались в дырозатыкании, которого не было? Или было, но не до конца?
habr.com/post/359038
Мой вопрос — в чем принципиальная разница между роутером и управляемым коммутатором?
Ответ — ни в чем, потому что коммутатор в принципе можно перешить в роутер и наоборот. Лишь бы была подходящая прошивка в наличии.
Пример кстати Mikrotik CRS.
P.S.
Стажировку я так и не прошел.
Коммутаторы обычно многое делают аппаратно, в т.ч. со штормами бороться — в роутерах это часто на проц ложится, а тот может и захлебнуться (пример — CRS125).
При активации модуля вирус удаляется с устройства безо всяких следов.
Скорее я бы сказал, что он удаляет всё на устройстве, чем удаляется сам. Со следами в виде 0xFF.
«The dstr module clears flash memory by overwriting the bytes of all available /dev/mtdX devices with a 0xFF byte. Finally, the shell command rm -rf /* is executed to delete the remainder of the file system and the device is rebooted. At this point, the device will not have any of the files it needs to operate and fail to boot.»
www.pcengines.ch/apu2.htm
Где покупали?
Одно время ALIX использовал, остались самьіе приятньіе впечатления, но єто бьіло давно.
Напишите модель, пожалуйста! Это копейки за подобное. Особенно если там не "порт", а "порты"!
Zyxel в списке нет, однако прошивку с защитой ядра установила. Последние версии (включая те модели, которых нет в списках на сайте www.zyxel.com) нашла на help.keenetic.com/hc/ru/categories/201757869-Центр-загрузки
В основном, судя по журналам обновлений, последние релизы у людей стоят V 2.05 С4 (от 2016). Увы, не обновляются и при проверке обновлений пишет "обновлений нет". Однако есть С7 от 10.2017г. Для некоторых моделей уже появились от 2018г.
"Новые возможности и улучшения: Устранены уязвимости WPA2, известные как Key Reinstallation Attacks (KRACK)."
По сути, относительно VPNFilter свидетельств заражения нет, просто рекомендации по удаленному доступу и гостевой точке доступа, на самом Zyxel.com указано, что в последних версиях микропрошивок реализована защита ЦП и ядра от Meltdown и Spectre.
Кстати, keenetic.com выдает ошибку безопасного соединения, если входить через Гугл и разрешить подключить приложение для входа. Наглухо! небезопасное соединение, и хоть тресни!
Ну и последнее. как я понимаю, сама специфика вируса, т.е. подключение к сети Тор, по РФ не может быть реализована именно потому, что РФ рубит сам Тор и борется с ним как может (ну, хоть какая-то от этого польза появилась)))
Еще, чуть внимательней прочитав, добавлю. насколько я знаю, аналогично моему центру, в любом роутере журналируются как IP, так и установленные обновления и модули. Если проверить каждый, кликом по нему просмотрев инфу, думаю, можно вычленить и вирь. Как минимум, экспериментально, отключая незнакомые и просматривая результат.
Именно это я и опробовала в т.ч, просматривая пояснение по каждому мне неизвестному на сайте-производителе (по сути, здесь уже и модель не важна, они схожи).
Вирус VPNFilter, заразивший 500 тыс. роутеров оказался еще опаснее, чем считалось