Hlavní navigace

Postřehy z bezpečnosti: malware skrytý v Cisco routerech

21. 9. 2015
Doba čtení: 4 minuty

Sdílet

V tomto díle Postřehů se podíváme na malware, který se skrývá v routerech společnosti Cisco, jakpak Google definitivně ukončuje podporu SSLv3 a RC4, na únik privátního klíče společnosti D-Link, malware zeměřující se na hráče pokru, banky které budou používat obdobu blockchainu a spoustu dalšího.

SYNful Knock je název malwaru/implantátu, který odhalila společnost Mandiant (FireEye). Tento malware je schopný upravit aktuální fimware běžící na Cisco routerech a zajistit si tak perzistenci po restartu. Je modulární, neviditelný a schopný se aktualizovat. Obsahuje backdoor pro přímý přístup, vyžívající místo hesla nestandardní pakety jako autentizaci. Podle výzkumníků nejspíše nepoužívá 0day zranitelnost pro infikování routerů, ale předem známá či běžná hesla.

Známé infikované modely jsou Cisco 1841, 2811, 3825, ale výzkumníci zmiňují, že nic nebrání tomu, aby malware infikoval i jiné modely. Cisco ale tvrdí, že pro napadení je třeba mít fyzický přístup nebo znát přístupové heslo.

Modifikace IOS (neplést s iOS):

  • Modifikace všech TLB (Translation Lookaside Buffer) atributů – pro možnost hookování funkcí

  • Modifikace legitimních IOS funkcí pro načtení malwaru – volá se při spuštění systému

  • Přepsání funkcí vlastními soubory

  • Přepsání hodnot a změny v konfiguraci

Poměrně jednoduchou metodou je možné malware identifikovat i na vašich zařízeních. Spusťte příkaz show platform  a hledejte údaje o TLB záznamech.

Takto vypadá validní výstup:

…a takto modifikovaný firmware:

Pokud něco podobného naleznete, projděte si, prosím, podrobně zbytek článku.

Podle výsledků masivních internetových scanů se našlo několik desítek dalších infikovaných zařízení. Nutno dodat, že většina Cisco routerů není dostupná z internetu, takže problém může být mnohem závažnější.

Naše postřehy

Google defnitivně ukončí podporu SSLv3 a šifry RC4 ve všech svých produktech, službách i serverech. Jen ve zkratce si připomeňme, že SSLv3 protokol je náchylný k útokům jako BEAST, POODLE a 28 let stará šifra RC4 k získání původních dat. Mezi doporučení Googlu patří mimo jiné také: podpora TLS 1.2, SNI (Server Name Indication), sady TLS_ECDHE_RSA_WITH_AES128_GCM_SHA256 s P-256 a SAN. Jestli to váš klient podporuje si můžete vyzkoušet zde.

AVG plánuje od 15. října přeprodávat vaše data internetovým inzertním společnostem, které shromáždí jejich bezplatná verze antiviru. Pokud byse vám to nelíbilo, zkuste třeba free antivirus od Avastu. Z těch placených bych si dovolil doporučit Kaspersky nebo Bitdefender.

Společnost D-Link umožnila kromě stažení nového firmwaru, stáhnout i zdrojový kód s privátním klíčem (a heslem) pro podepisování aplikací. Toho pak může útočník využít při podvržení aplikací za účelem instalace malwaru. Daný certifikát byl již zrušen.

SuperLogout.com je užitečná webová stránka, jejíž jedinou funkcí je odhlásit vás ze všech populárních webových služeb, jako například Dropbox, eBay, Github, Google, Skype, Netflix apod. To se velmi hodí, pokud jste například pracovali na sdíleném počítači a nechcete, aby se někdo dostal k účtu, ze kterého jste se zapomněli odhlásit. Záměrně neodkazuji na stránku, protože hned po jejím zobrazení se odhlášení provede.

Výzkumníci společnosti ESET narazili na nepříliš obvyklý typ malwaru. Jmenuje se Odlanor a zaměřuje se na hráče pokru. Především pak na ty, co používají PokerStars a Full Tilt Poker. Instaluje se do systému přibalením k nějakému jinému programu a po instalaci sleduje hrací okna těchto dvou platforem a odesílá print screeny na vzdálený sever. Na daném screenu je vidět ID hráče, takže útočníci jen snaží přidat ke stolu, kde oběť hraje, protože mu doslova vidí do karet.

Poslední diskutovaná malwarová kampaň trvala 15 dnů a infikovala až 6000 klientů denně. Využívala ovládnuté WordPress weby k přesměrování každého návštěvníka na Nuclear Exploit Kit, který již podle indentifikace klienta vybral nejvhodnější exploit.

Apple iOS verze 9 vyšel ve středu a přináší několik zajímavých novinek a vylepšení. Kromě částečné opravy kritické chyby služby AirDrop, prodloužení výdrže baterie až o jednu hodinu, menší nároky na volné místo při aktualizaci, lepší mapy, nové funkce Siri, vyšší ochrana Apple ID účtu a dvoufaktorová autentizace. Na Internetu se objevily články popisující, co změnit za nastavení pro zvýšení ochrany soukromí, ale to nemá s novou verzí nic společného a dané funkce tam existují již dlouho. Nicméně zde je jeden příklad.

JP Morgan, BBVA, Goldman Sachs, UBS, Royal Bank of Scotland, Credit Suisse a pár dalších bank spolupracuje s technologickou společností R3 na vytvoření nového protokolu pro decentralizované finanční transakce, který bude založen na principech Bitcoin Blockchainu. Palec nahoru.

root_podpora

Ve zkratce

Pro pobavení

Starší, ale stále potěší :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?