Чък Норис атакува рутери и сателитни приемници
March 2nd, 2010 от singu
Чешки експерти от University’s Institute of Computer Science in Brno
са открили нов ботнет, който атакува рутери и DSL модеми. Ботнета е наречен Чък Норис, защото в кода му има коментар “in nome di Chuck Norris.” Ботнета е развитие на по-ранен ботнет, наречен Psyb0t и се разпространява по подобен начин – отгатва административните пароли на устройствата или използва познатите уязвимости в случая на D-Link. За разлика от Psyb0t обаче, “Чък Норис” може да атакува и MIPS сателитни приемници. Останалата част от реализацията на ботнета обаче е доста примитивна – той има ограничени възможности за DDoS атака и подмяна на DNS записите в рутера, като контролният му канал е IRC, технология, изоставена от почти всички ботнет създатели, защото е лесно контролният сървър да бъде спрян. Също така бота не се записва перманентно в паметта на рутера, а само в RAM, т.е. след рестарт бота се изтрива.
Факта, че рутерите са постоянно включени и свързани към Интернет, за разлика от повечето компютри, както и значително по-рядкото публикуване на нови фъруери и съответното още по-рядкото им обновяване от собствениците ( да вдигнат ръка хората, които през последния месец проверяваха дали има нов фърмуер за рутера им ) ги прави относително лесна цел за атакуване. Разбира се недостатъците са относително малката изчислителна мощност и често невъзможността бота да бъде записан за постоянно във флаш паметта на рутера, но подобен ботнет би бил страшно ефективен, ако е използван като първа фаза на атака. Само с функционалността да подменя DNS записите, ботнета може да пренасочи целия трафик, или само “оперативно интересния” към сървъри на атакуващите, където може да бъде анализиран, потребителскте имена и пароли – откраднати или може да бъде заразен компютъра. Най-страшното е, че от компютър в мрежата зад рутера няма начин да се установи дали сайта е легитимен или не.
Между другото “Чък Норис” явно се превръща в популярно меме в Инфосек общостта, след като до преди известно време това е била master паролата на Facebook ( по непроверяеми слухове ).
са открили нов ботнет, който атакува рутери и DSL модеми. Ботнета е наречен Чък Норис, защото в кода му има коментар “in nome di Chuck Norris.” Ботнета е развитие на по-ранен ботнет, наречен Psyb0t и се разпространява по подобен начин – отгатва административните пароли на устройствата или използва познатите уязвимости в случая на D-Link. За разлика от Psyb0t обаче, “Чък Норис” може да атакува и MIPS сателитни приемници. Останалата част от реализацията на ботнета обаче е доста примитивна – той има ограничени възможности за DDoS атака и подмяна на DNS записите в рутера, като контролният му канал е IRC, технология, изоставена от почти всички ботнет създатели, защото е лесно контролният сървър да бъде спрян. Също така бота не се записва перманентно в паметта на рутера, а само в RAM, т.е. след рестарт бота се изтрива. Факта, че рутерите са постоянно включени и свързани към Интернет, за разлика от повечето компютри, както и значително по-рядкото публикуване на нови фъруери и съответното още по-рядкото им обновяване от собствениците ( да вдигнат ръка хората, които през последния месец проверяваха дали има нов фърмуер за рутера им ) ги прави относително лесна цел за атакуване. Разбира се недостатъците са относително малката изчислителна мощност и често невъзможността бота да бъде записан за постоянно във флаш паметта на рутера, но подобен ботнет би бил страшно ефективен, ако е използван като първа фаза на атака. Само с функционалността да подменя DNS записите, ботнета може да пренасочи целия трафик, или само “оперативно интересния” към сървъри на атакуващите, където може да бъде анализиран, потребителскте имена и пароли – откраднати или може да бъде заразен компютъра. Най-страшното е, че от компютър в мрежата зад рутера няма начин да се установи дали сайта е легитимен или не.
Между другото “Чък Норис” явно се превръща в популярно меме в Инфосек общостта, след като до преди известно време това е била master паролата на Facebook ( по непроверяеми слухове ).
Tweet
Подобни статии:
March 4th, 2010 at 16:39
Здравейте,
Искам да ви благодаря за изчерпателната и технически грамотна информация, която предоставяте. Забелязвам, че обновяването зачести, с което вашия сайт се превръща все повече в security blog и така в предпочитан източник(за мен) на подобна информация.
March 5th, 2010 at 17:18
Благодаря за добрите думи! В интерес на истината напоследък доста трудно намирам време и за блога и за съжаление от това страда качеството на статиите
Както и да е – в скоро бъдеще съм замислил малко промени тук, надявам се да са успешни – плана беше да са за 256-тата публикация, но засега се надявам да стане за 356-тата.