Malware angriber routere og modems

27. marts 2009

Nyt om IT-sikkerhed på rióutere og modems. Malwaret psyb0t angriber routere og DSL modems der kører MIPS operativ system mipsel mode. DRONEBL var de første der rapporterede om ormen, som er en del af funktionen i et botnet som foretager Distributed Denial of Service (DDoS) attacks.

Psyb0t ormen bruger brute force til at gætte brugerens navn og password for at få adgang til enheden. Når det er gjort downloades malwarekoden.

Forudsætninger for at ormen lykkes med sin mission er :

  • Det skal være en mipselenhed (MIPS der kører i little-endian mode)
  • Enheden skal ha Telnet, SSH elelr webbaseret interface tilgængeligt for WAN
  • Brugernavne og passwords skal være svage ELLER din enhed skal mangle patches

Hvordan ser man om enheden er inficeret?
Port 22, 23 og 80 vil være blokkeret, som et led i inficeringen (men ikke som en del af rootkittet selv, som hvis det køres elvstændigt ikke ændrer indstillingerne 

Hvordan renser man enheden?
For at kunne rense den inficerede enhed, må man koble den fra internettet, reboot’e ved hard reset og skifte passwordet ud med et nyt stærkt password,på mere end 8 tegn/tal/bogstaver Ormen og det medfølgende rootkit overlever ikke den procedure. Det anbefales også at opdatere selve routeren eller modemmet når enheden er på Internettet igen, hvis der altså er opdateringer/opgraderinger tilgængelig fra den pågældende producent.

Kæden er aldrig stærkere end det svageste led
psyb0t ormen kan være det første kim til en ny trend i bruddet på IT-sikkerheden, nemlig at inficere andre enheder end almindelige computere. Routere og modems genstartes sjældent og har som regel ikke antivirus og andre sikkerhedsmekanismer. Der er ofte ikke tænkt i IT-sikkerhed i den sammenhæng. En inficeret enhed kan være uopdaget i lange tider og det er bekymrende.
Denne specifikke orm gør at man er en del af et botnet, men andre lignende angreb, muliggør at al trafik på routeren eller modemmet videresendes i kopi til en trediepart eller kan re-directe særlige kald til hjemmesider til falske kopihjemmesider, som så igen kan foretage identitetstyveri, industrispionage etc. Enheden vil også kunne fungere som indgang for hackere til angreb på computere og selve netværket de er koblet op i. Alt vil foregå uden brugerens viden.

Toppen af isbjerget
Malware der angriber routere/modems er måske kun toppen af isbjerget.
Flere og flere af de enheder vi omgiver os med er baseret på computerteknologi og har en eller anden form for operativsystem og applikation. Mange af de enheder kobles i internettet for at forbedre funktionalitet og holde enheden up to date. Enhver enhed der kobles til internettet er i teorien et mål for malware og hacking fra hvor som helst i verden.

Eksempler på computer teknologi er endeløs, men her er nogle stykker , som vi i fremtiden må forvente bliver "intelligente" i mange husholdninger:

  • Din bil
  • Din elkedel
  • Dit køleskab 
  • Din spillekonsol
  • Dit musik anlæg ( også det portable) 
  • Det system som du bruger for at administrere ovenstående enheder m.fl.

Hvad er problemet med det, hvad vil en hacker dog med køleskabet? Jo derfra kan han så videre tilgå resten af systemet/netværket af enheder og nå til de enheder der er af væsentlig strategisk karakter...også i virksomheder.

Mindre sandsynligt men dog i teorien muligt er at f.eks. en pyroman kan få din elkedel til at starte imens du sover eller ikke er hjemme. Selvfølgelig kan den magt en hacker således kan få bruges til at chikanere og afpresse andre,- både private og virksomheder.

Læs evt. hele rapporten fra Drone på dette link

 


 

Kilde: DroneBL og Norman Data Defence Systems

Powered by wpsnet.com