Комментарии 18
Так всё-таки, каков механизм заражения?
Вот сколько уже обзоров от Nod32 читаю, а так и не могу понять, почему они так мало плюсов собирают.
Детальное исследование, схемы, алгоритмы, серверы управления — все есть, кроме разве что фоточек с котиками.
Спасибо вам за обзоры, очень интересно бывает почитать.
Детальное исследование, схемы, алгоритмы, серверы управления — все есть, кроме разве что фоточек с котиками.
Спасибо вам за обзоры, очень интересно бывает почитать.
По крайней мере, этот обзор несколько непоследователен в целевой аудитории.
В одном месте данные для специалистов (uclibc, порты и т.д.), в другом — для очень широкой публики (объясняют TCP handshake, http заголовки) в третьем — непонятно, для кого (описание параметра cnccfg_nb_thdscan_local).
Интересный ляп:
> Различные скриншоты фрагментов вредоносного кода принадлежат именно этой архитектуре.
Общий дух отчета напоминает отчет для инвесторов.
Как будто, данные собирали одни, а отчет писал другой человек, далекий от IT.
По содержимому — ничего не сказано про попытки влезть в https сессию.
Например, хотя бы просто сгенерить самоподписанный сертификат социалок и проксировать его через себя.
Или сгенерить свой CA сертификат и подписать им.
Возможно, червь не настолько сильно проверяет валидность сертификата.
В одном месте данные для специалистов (uclibc, порты и т.д.), в другом — для очень широкой публики (объясняют TCP handshake, http заголовки) в третьем — непонятно, для кого (описание параметра cnccfg_nb_thdscan_local).
Интересный ляп:
> Различные скриншоты фрагментов вредоносного кода принадлежат именно этой архитектуре.
Общий дух отчета напоминает отчет для инвесторов.
Как будто, данные собирали одни, а отчет писал другой человек, далекий от IT.
По содержимому — ничего не сказано про попытки влезть в https сессию.
Например, хотя бы просто сгенерить самоподписанный сертификат социалок и проксировать его через себя.
Или сгенерить свой CA сертификат и подписать им.
Возможно, червь не настолько сильно проверяет валидность сертификата.
Не освещены существенные моменты:
— способ заражения (эксплуатация уязвимости чего, подбор пароля root и т. п.),
— способ кражи кук сервисов типа twitter/fb/instagram, которые отдаются с параметром secure и передаются потом только по https (2 показанных 301 permanent redirect — не про это, а про то, что многие сервисы автоматически перенаправляют пользователя на https, если пользователь пришел по http),
— что даёт dns hjacking для twitter/fb/instagram, которые работают по https.
— способ заражения (эксплуатация уязвимости чего, подбор пароля root и т. п.),
— способ кражи кук сервисов типа twitter/fb/instagram, которые отдаются с параметром secure и передаются потом только по https (2 показанных 301 permanent redirect — не про это, а про то, что многие сервисы автоматически перенаправляют пользователя на https, если пользователь пришел по http),
— что даёт dns hjacking для twitter/fb/instagram, которые работают по https.
Не спорю, что реверс сумбурный, но ведь написано же:
Вредоносная программа не имеет особенных механизмов по компрометации других систем. Компрометации подвергаются только те из них, которые имеют слабые учетные данные входа в аккаунт. Moose не использует какие-либо уязвимости в ОС или ПО для компрометации других устройств.
Этот абзац упустил из виду. Недостаток чтения статей «по диагонали».
Я все равно не понимаю, как слабые учетные данные для входа в админку роутера могут помочь инсталлировать зловреда в read only память его прошивки? Тут нужны изначально такие условия, чтобы не просто получить доступ к роутеру, но и иметь возможность что-то в него загрузить и исполнить.
Еще и захваченный трафик куда-то надо писать, я уже не говорю о том, что убогие технические параметры большинства бытовых маршрутизаторов превратят такую нестандартную задачу для устройства в шоу 100% загрузки того, что там они процессором и памятью называют.
Еще и захваченный трафик куда-то надо писать, я уже не говорю о том, что убогие технические параметры большинства бытовых маршрутизаторов превратят такую нестандартную задачу для устройства в шоу 100% загрузки того, что там они процессором и памятью называют.
Да вы что, взлом роутеров — это такая тривиальная операция, что в черве есть функционал выключить других червей, чтобы не мешались :)
> Еще и захваченный трафик куда-то надо писать
Трафик оно сразу в другое место шлет.
> Еще и захваченный трафик куда-то надо писать
Трафик оно сразу в другое место шлет.
инсталлировать зловреда в read only память его прошивки?Нет, они не выживают перезагрузку. Просто пишут себя в tmpfs, а потом запускают.
Поясните несведующим, как зловред имея только user:pass умудряется что-то поменять в системе роутера? при условии, что он не использует уязвимости прошивок. Или таки использует?
Он ничего не меняет, а только запускает себя. Почти все модели Asus, например, имеют скрытую страницу в веб-интерфейсе для выполнения произвольных команд, а некоторые производители предусматривают доступ по telnet или ssh, откуда вы можете выполнять любые команды.
Очень малое количество встроенных систем имеют в наличии Sshd/telnet.
Что бы запустить зловред, надо чтоб на роутере было что запускать. Вот и вопрос — а как это там появляется если не через уязвимости в прошивке?
П.С. Я не спору ради, а так, может я чего не знаю о простых домашних роутерах.
П.П.С. Закладки в прошивках это и есть уязвимости.
Что бы запустить зловред, надо чтоб на роутере было что запускать. Вот и вопрос — а как это там появляется если не через уязвимости в прошивке?
П.С. Я не спору ради, а так, может я чего не знаю о простых домашних роутерах.
П.П.С. Закладки в прошивках это и есть уязвимости.
Очень малое количество встроенных систем имеют в наличии Sshd/telnet.Подавляющее большинство имеет, я бы сказал. Может, они по умолчанию не включены и включаются через веб-интерфейс, но все же.
Откуда вы это взяли, есть статистика?
Например tp-link роутеры лишь несколько моделей имеют sshd, все остальные нет.
Да и зачем холодильнику или стералке поднимать sshd? Этож первое что будут ломать…
Вот данные из статьи, цитирую: «Из 85 тыс. попыток подключений по Telnet, которые были выполнены на 18 тыс. уникальных хостов, 161 попытка закончилась запросом учетных данных Telnet.»
Если я правильно понял, то только 0.19% устройств ответили.
Например tp-link роутеры лишь несколько моделей имеют sshd, все остальные нет.
Да и зачем холодильнику или стералке поднимать sshd? Этож первое что будут ломать…
Вот данные из статьи, цитирую: «Из 85 тыс. попыток подключений по Telnet, которые были выполнены на 18 тыс. уникальных хостов, 161 попытка закончилась запросом учетных данных Telnet.»
Если я правильно понял, то только 0.19% устройств ответили.
«Вредоносная программа умеет направлять трафик от управляющего C&C-сервера к другим хостам, что позволяет эффективно обходить системы защиты NAT.»
NAT — это не «система», и уж тем более не защиты. Это необходимый «костыль» для протоколов стека TCP/IP, о котором «забыли» подумать, когда разрабатывали сами протоколы. Если этот механизм не позволяет обратиться к внутренним ресурсам сети, это не делает из него «систему защиты». Конечно на уровне пользователя это можно воспринимать и так, но в профессиональной среде такие формулировки режут слух.
NAT — это не «система», и уж тем более не защиты. Это необходимый «костыль» для протоколов стека TCP/IP, о котором «забыли» подумать, когда разрабатывали сами протоколы. Если этот механизм не позволяет обратиться к внутренним ресурсам сети, это не делает из него «систему защиты». Конечно на уровне пользователя это можно воспринимать и так, но в профессиональной среде такие формулировки режут слух.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Злоумышленники используют Linux/Moose для компрометации Linux-embedded систем, часть 1