Hlavní navigace

Postřehy z bezpečnosti: máte v routeru stále původní DNS servery?

Pavel Bašta 10. 10. 2016

Dnes se podíváme na změny nastavení DNS v routerech, ransomware Cerber, na pořadí zemí podle množství klientů botnet sítí v regionu Evropy, Středního Východu a Afriky, na další vlnu útoků na RDP či na možnou slabinu sítě Tor.

Minulý týden jsme v CSIRT.CZ obdrželi dvě hlášení o útocích na domácí routery. Jedná se o více značek, konkrétně o výrobky firem Asus, Netis, TP-Link a Tenda. Stejně jako při podobných útocích v předchozích letech i tentokrát útočník mění DNS servery a to primární na 46.17.102.10, 46.17.102.15 či 46.17.102.163, sekundární pak vždy na 8.8.8.8. Zatím neznáme vektor útoku, nicméně se domníváme, že se bude jednat o útok pomocí javascriptu umístěného na webové stránce. Kromě toho, že je napadeno více různých značek, byla také část routerů umístěna za NATem, proto se domníváme, že s největší pravděpodobností nešlo o zranitelnost zneužitelnou přes WAN rozhraní, jako tomu bylo v případě z roku 2014, kdy útočník zneužil zranitelnost rom-0.

Mohlo by se jednat například o vylepšenou verzi již známého kusu javascriptového malware JS_JITON, který útočníci vkládají do kompromitovaných webových stránek a který již v dubnu tohoto roku obsahoval 1 400 kombinací přihlašovacích údajů a v té době se zaměřoval na routery značek D-Link, TP-LINK a ZTE. Jakmile uživatel navštíví kompromitovanou stránku, pokusí se tento malware s pomocí uložených přihlašovacích údajů změnit nastavení DNS serverů v routeru.

Podle našich dosavadních poznatků útočník zatím nepřesměrovává uživatele na žádné falešné verze webových stránek, nicméně to se pravděpodobně v budoucnu změní. Podobné útoky nejsou nic nového. V minulosti jsme zde řešili již zmiňovaný případ týkající se uživatelů z ČR, kdy docházelo k přesměrování uživatelů, připojených přes napadený router, na útočníkem připravené kopie webů služeb Seznam a Google, kde jim pak byl pod záminkou stažení update FlashPlayeru servírován malware. Podobně v sousedním Polsku byli uživatelé při jednom z těchto útoků rovnou přesměrováváni na falešné stránky mBank.

Pokud by někdo ze čtenářů Postřehů podobný problém zaznamenal, budeme rádi, pokud nám bude moci poskytnout detailnější informace.

Naše postřehy

Nová varianta ransomware Cerber ukončuje běžící procesy běžně používaných databází, jako jsou MySQL, Oracle, či Microsoft SQL. Důvodem je snaha zašifrovat co nejvíce dat, přičemž běžící procesy by bránily zašifrování databázových souborů. Aby mohl ransomware ukončit běžící procesy, musí být spuštěn s patřičným oprávněním.

Symantec realizoval průzkum, při kterém zjišťoval množství počítačů, jež jsou v dané zemi v regionu Evropy, Středního Východu a Afriky členem nějakého botnetu. První tři místa obsadily v absolutních číslech Turecko, Itálie a Maďarsko. Při započtení „hustoty“ botů jsou pak první tři pozice v držení Maďarska, Monaka a Andorry. Česká republika je na 28 místě, přičemž nějaké to zařízení, které je členem botnetu má každý 17 492. uživatel Internetu. Například v již zmiňovaném Maďarsku je to každý 393. uživatel.

Skupina útočníků v Brazílii se zaměřila na servery, které mají do Internetu vystaveno rozhraní RDP (Remote Desktop Protocol). Kromě útoků hrubou silou využívají také zranitelnosti, které administrátoři z nějakého důvodu nezáplatovali. Po úspěšném napadení pak na systému spustí ransomware, který se postará o zašifrování většiny souborů.

Provozovatelé exit nódů Toru by se měli vyvarovat používání veřejných DNS resolverů, poskytovaných například Googlem či OpenDNS. Místo toho by měli používat resolvery svého ISP, nebo svůj vlastní. Vyplývá to z nově uveřejněného korelačního útoku, který využívá protokol DNS k deanonymizaci uživatelů Tor sítě. V současné chvíli společnost Google odbaví na svých DNS resolverech přibližně 40 % veškerých DNS dotazů odcházejících ze sítě Tor.

Ve zkratce

Pro pobavení

Co asi bude v adresáři dbBkp?


Zdroj: Twitter
Našli jste v článku chybu?

11. 10. 2016 22:37

ebik (neregistrovaný)

A nepridal ti tam nekdo forward-zone, name "."?

(Delam si srandu, jsem na tom stejne.)

11. 10. 2016 16:41

C-S (neregistrovaný)

Aspoň lidem (snad) konečně dojde že NAT není zabezpečení.

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET