Postřehy z bezpečnosti: malware skrytý v Cisco routerech

Martin Čmelík 21. 9. 2015

V tomto díle Postřehů se podíváme na malware, který se skrývá v routerech společnosti Cisco, jakpak Google definitivně ukončuje podporu SSLv3 a RC4, na únik privátního klíče společnosti D-Link, malware zeměřující se na hráče pokru, banky které budou používat obdobu blockchainu a spoustu dalšího.

SYNful Knock je název malwaru/implantátu, který odhalila společnost Mandiant (FireEye). Tento malware je schopný upravit aktuální fimware běžící na Cisco routerech a zajistit si tak perzistenci po restartu. Je modulární, neviditelný a schopný se aktualizovat. Obsahuje backdoor pro přímý přístup, vyžívající místo hesla nestandardní pakety jako autentizaci. Podle výzkumníků nejspíše nepoužívá 0day zranitelnost pro infikování routerů, ale předem známá či běžná hesla.

Známé infikované modely jsou Cisco 1841, 2811, 3825, ale výzkumníci zmiňují, že nic nebrání tomu, aby malware infikoval i jiné modely. Cisco ale tvrdí, že pro napadení je třeba mít fyzický přístup nebo znát přístupové heslo.

Modifikace IOS (neplést s iOS):

  • Modifikace všech TLB (Translation Lookaside Buffer) atributů – pro možnost hookování funkcí

  • Modifikace legitimních IOS funkcí pro načtení malwaru – volá se při spuštění systému

  • Přepsání funkcí vlastními soubory

  • Přepsání hodnot a změny v konfiguraci

Poměrně jednoduchou metodou je možné malware identifikovat i na vašich zařízeních. Spusťte příkaz show platform  a hledejte údaje o TLB záznamech.

Takto vypadá validní výstup:

…a takto modifikovaný firmware:

Pokud něco podobného naleznete, projděte si, prosím, podrobně zbytek článku.

Podle výsledků masivních internetových scanů se našlo několik desítek dalších infikovaných zařízení. Nutno dodat, že většina Cisco routerů není dostupná z internetu, takže problém může být mnohem závažnější.

Naše postřehy

Google defnitivně ukončí podporu SSLv3 a šifry RC4 ve všech svých produktech, službách i serverech. Jen ve zkratce si připomeňme, že SSLv3 protokol je náchylný k útokům jako BEAST, POODLE a 28 let stará šifra RC4 k získání původních dat. Mezi doporučení Googlu patří mimo jiné také: podpora TLS 1.2, SNI (Server Name Indication), sady TLS_ECDHE_RSA_WITH_AES128_GCM_SHA256 s P-256 a SAN. Jestli to váš klient podporuje si můžete vyzkoušet zde.

AVG plánuje od 15. října přeprodávat vaše data internetovým inzertním společnostem, které shromáždí jejich bezplatná verze antiviru. Pokud byse vám to nelíbilo, zkuste třeba free antivirus od Avastu. Z těch placených bych si dovolil doporučit Kaspersky nebo Bitdefender.

Společnost D-Link umožnila kromě stažení nového firmwaru, stáhnout i zdrojový kód s privátním klíčem (a heslem) pro podepisování aplikací. Toho pak může útočník využít při podvržení aplikací za účelem instalace malwaru. Daný certifikát byl již zrušen.

SuperLogout.com je užitečná webová stránka, jejíž jedinou funkcí je odhlásit vás ze všech populárních webových služeb, jako například Dropbox, eBay, Github, Google, Skype, Netflix apod. To se velmi hodí, pokud jste například pracovali na sdíleném počítači a nechcete, aby se někdo dostal k účtu, ze kterého jste se zapomněli odhlásit. Záměrně neodkazuji na stránku, protože hned po jejím zobrazení se odhlášení provede.

Výzkumníci společnosti ESET narazili na nepříliš obvyklý typ malwaru. Jmenuje se Odlanor a zaměřuje se na hráče pokru. Především pak na ty, co používají PokerStars a Full Tilt Poker. Instaluje se do systému přibalením k nějakému jinému programu a po instalaci sleduje hrací okna těchto dvou platforem a odesílá print screeny na vzdálený sever. Na daném screenu je vidět ID hráče, takže útočníci jen snaží přidat ke stolu, kde oběť hraje, protože mu doslova vidí do karet.

Poslední diskutovaná malwarová kampaň trvala 15 dnů a infikovala až 6000 klientů denně. Využívala ovládnuté WordPress weby k přesměrování každého návštěvníka na Nuclear Exploit Kit, který již podle indentifikace klienta vybral nejvhodnější exploit.

Apple iOS verze 9 vyšel ve středu a přináší několik zajímavých novinek a vylepšení. Kromě částečné opravy kritické chyby služby AirDrop, prodloužení výdrže baterie až o jednu hodinu, menší nároky na volné místo při aktualizaci, lepší mapy, nové funkce Siri, vyšší ochrana Apple ID účtu a dvoufaktorová autentizace. Na Internetu se objevily články popisující, co změnit za nastavení pro zvýšení ochrany soukromí, ale to nemá s novou verzí nic společného a dané funkce tam existují již dlouho. Nicméně zde je jeden příklad.

JP Morgan, BBVA, Goldman Sachs, UBS, Royal Bank of Scotland, Credit Suisse a pár dalších bank spolupracuje s technologickou společností R3 na vytvoření nového protokolu pro decentralizované finanční transakce, který bude založen na principech Bitcoin Blockchainu. Palec nahoru.

widgety

Ve zkratce

Pro pobavení

Starší, ale stále potěší :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Test LG 55UH750V aneb Cena/výkon

Test LG 55UH750V aneb Cena/výkon

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Vitalia.cz: 5 pravidel proti infekci močových cest

5 pravidel proti infekci močových cest

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech