The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от opennews (ok) on 15-Сен-15, 22:42 
Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye выявила (https://www.fireeye.com/blog/threat-research/2015/09/synful_...) новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов Cisco с внедрением бэкдора, позволяющего контролировать проходящий через маршрутизатор транзитный трафик и использовать маршрутизатор как точку для проведения атак на внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых  маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине.


Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый бэкдор, в обычных условиях никак себя не проявляющий и активируемый при выявления в трафике специально оформленных управляющих пакетов, что существенно затрудняет выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа прошивки (http://blogs.cisco.com/security/offline-analysis-of-ios-imag...). В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак.


Бэкдор обладает достаточно широкими возможностями, в том числе позволяет загружать модули, расширяющие его функциональность и позволяющие применять различные виды атак. Для активации модуля на
80 сетевой порт (HTTP) маршрутизатора отправляется специально оформленный TCP SYN-пакет. Модули могут представлять собой как независимые исполняемые блоки кода, так и обработчики различной функциональности Cisco IOS. Например, через подобный модуль реализована возможность входа на маршрутизатор по протоколу telnet с предопределённым злоумышленниками паролем.


Бэкдор размещается с внесением изменений в прошивку, что позволяет сохранить его работоспособность после перезагрузки.


URL: https://www.fireeye.com/blog/threat-research/2015/09/synful_...
Новость: http://www.opennet.me/opennews/art.shtml?num=42969

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +17 +/
Сообщение от A.Stahl (ok) on 15-Сен-15, 22:42 
А раньше на обычные ширпотребные мамки лепили джампер, запрещающий изменение БИОСа. Но раньше и трава была зеленее и милиция добрее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +5 +/
Сообщение от klalafuda on 15-Сен-15, 23:22 

Раньше и на флешках был крыжик 'read only'. А сейчас - пишите люди добрые ничего не жалко.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Аноним (??) on 16-Сен-15, 00:09 
> Раньше и на флешках был крыжик 'read only'.

Так и сейчас у большинства чипов флеша есть пин _WP, хардварно вырубающий запись. А уж куда он подключен в конкретной системе - уже дело создателей этой системы.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

72. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +2 +/
Сообщение от pavlinux (ok) on 16-Сен-15, 16:00 
> А уж куда он подключен в конкретной системе ...

К серверу АНБни

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

92. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от Аноним (??) on 16-Сен-15, 20:54 
Что, павлуша, теперь анбня к тебе и через шапочку из фольги достучалась? А ты полезай в чугунный водолазный колокол - там ни одного разрыва, отвечаю!
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

99. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Айнанимм on 17-Сен-15, 06:54 
Принесли мне както на "ремонт" фильдоперсовую флешку с какимето там стразами - у ней этот выклбчатель сдох и она была доступна "только для чтения"... 15 минут гугления и китайский прашивальщик перешил её контралёр выкусив эту "апаратную" защиту...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +8 +/
Сообщение от Аноним (??) on 16-Сен-15, 00:20 
> Раньше и на флешках был крыжик 'read only'. А сейчас - пишите
> люди добрые ничего не жалко.

И на вебках шторки были...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +3 +/
Сообщение от Fracta1L (ok) on 16-Сен-15, 07:25 
И хакеры стучались, прежде чем войти.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от iPony on 16-Сен-15, 08:16 
> на вебках шторки были...

Ну так самому лепить надо. С ноутбуком вот просто, на смартфоне к сожалению сложнее с фронтальной :( Отклеивается.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

28. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +2 +/
Сообщение от Аноним (??) on 16-Сен-15, 10:13 
И бензин по 25 и бакс по 30.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

34. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +7 +/
Сообщение от daemontux on 16-Сен-15, 11:46 
> И бензин по 25 и бакс по 30.

Кто пустил школоту на opennet?
До августа 98 года доллар был по 6р

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от daemontux on 16-Сен-15, 11:46 
>> И бензин по 25 и бакс по 30.
> Кто пустил школоту на opennet?
> До августа 98 года доллар был по 6р

И таки да обидеть ни кого не хочу )

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

74. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от pavlinux (ok) on 16-Сен-15, 16:02 
>> И бензин по 25 и бакс по 30.
> Кто пустил школоту на opennet?
> До августа 98 года доллар был по 6р

Студни detected - Курс 1 доллара на 1 мая 1985 года - 0.60 копеек.  

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

76. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Аноним (??) on 16-Сен-15, 16:07 
Небось с сайта ЦБ взял, студень )
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

96. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от linuxisnotunixitisawindows on 16-Сен-15, 23:02 
А в 1400-м доллара ваще не было.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

93. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Аноним (??) on 16-Сен-15, 20:54 
> И на вебках шторки были...

С розовыми крокодильчиками.


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

97. "Кенгуру СС3"  +/
Сообщение от VaNO email(??) on 16-Сен-15, 23:27 
Пришлось правда из штатов заказывать. Выключатель там хлипковат, думаю еще пол года и сломается. И еще вызывает подозрение что если её вставить в положении запись разрешена, потом переключить в реад онли не вынимая из разъема, то файлы на неё всё равно пишутся.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от тигар (ok) on 16-Сен-15, 09:09 
> А раньше на обычные ширпотребные мамки лепили джампер, запрещающий изменение БИОСа. Но
> раньше и трава была зеленее и милиция добрее.

раньше и наклейки были, чтобы на дискетки 5.25" писать нельзя было при заклееном окошке!1

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

38. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от anonymous (??) on 16-Сен-15, 12:35 
Раньше наклейки были чтобы PROM не стирался.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

75. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от pavlinux (ok) on 16-Сен-15, 16:06 
> Раньше наклейки были чтобы PROM не стирался.

Раньше надо было идти в первый отдел, потом к ведущему он к главному инженеру,
чтоб вообще чё-нить записать.  

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

91. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от древний Аноним on 16-Сен-15, 20:28 
А еще раньше - вообще делать новую глиняную дощечку ...
А еще раньше - топать до шамана, искать новую пещеру с неразрисованными стенами.


Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

2. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  –20 +/
Сообщение от Аноним (??) on 15-Сен-15, 22:47 
>> территориально находящихся в Индии, Мексике, Филиппинах и Украине

это же главные хостеры порнухи и прочей "оппозиции"! )

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Аноним (??) on 15-Сен-15, 23:03 
И что? Ни ключи ни сертификаты не помогли? Джампер рулит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от Аноним (??) on 15-Сен-15, 23:13 
Ребята опередили АНБ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +2 +/
Сообщение от _KUL (ok) on 16-Сен-15, 00:38 
Это похоже они и есть.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от for mother russia on 16-Сен-15, 08:06 
> Это похоже они и есть.

Судя по выбору hardcoded-пакетов авторизации и отсутствию стелс-механизмов, это не АНБ а кто-то поменьше, м.б. просто ушлый хакер :) Там времени больше на реверс ушло чем на код

Интересно, как же они нашли зверя, вряд ли профилактическим дампом прошивки.. неужели IDS-системы на что-то годны?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от абвгдейка (ok) on 16-Сен-15, 09:30 
>Судя по выбору hardcoded-пакетов авторизации и отсутствию стелс-механизмов, это не АНБ а кто-то поменьше

ну ок - контора, нанятая АНБ :)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

94. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  –1 +/
Сообщение от Аноним (??) on 16-Сен-15, 20:57 
> ну ок - контора, нанятая АНБ :)

Не, это путинский след, чувак.


Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

100. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  –2 +/
Сообщение от Есюки on 17-Сен-15, 08:08 
Фольги, срочно фольги!
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

5. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +2 +/
Сообщение от grec on 15-Сен-15, 23:16 
Как там акции циско? Еще не упали?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +2 +/
Сообщение от тыц on 15-Сен-15, 23:37 
С чего им падать-то?

Если кто-то получит доступ к железке, то сможет поставить модифицированный код с бэкдором.
И что?
Если кто-то получит доступ к твоему компьютеру, будет ровно тоже самое. Не давай своё железо кому попало.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору
Часть нити удалена модератором

15. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от тыц on 16-Сен-15, 03:01 
И как это относится к текущему случаю?

Смысл данной "уязвимости" практически такой же как у опубликованной недели три назад про подмененный ROMMON -- какие-то люди справились наваять и скомпилировать код успешно запускающийся и притворяющийся IOS-ом. Таким образом теоретическая возможность сделать это была практически осуществлена. Вот и всё.

Никаких фиксов и исправлений IOS-а по этому поводу не предполагается -- нечего исправлять.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

7. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Аноним (??) on 15-Сен-15, 23:37 
>В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак.

ещё и хрен знает, где именно дыра, поди кто-то анбшный бекдор пронюхал

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +2 +/
Сообщение от Аноним (??) on 16-Сен-15, 12:30 
Спецслужбы в сотрудничестве с производителями делали дырявые сетевые железки и даже не думали, что настанет момент когда им отстрелят ногу из их же оружия.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +2 +/
Сообщение от Аноним (??) on 16-Сен-15, 00:05 
> и опубликовала сигнатуры (Snort Rule SID:36054

Цыска наносит ответный удар. А я то думал - нафига они его к рукам прибрали...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Нанобот (ok) on 16-Сен-15, 07:19 
В cisco до сих пор ниасилили запретить запуск неподписаного кода?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Аноним (??) on 16-Сен-15, 09:38 
Так может ключик кто-то из уполномоченных в кафе забыл :)
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

29. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от Клыкастый (ok) on 16-Сен-15, 11:18 
как у всех фанатов security by obscurity. типа "прошивки оне могут взять только у нас, а мы никому не скажем как оне пишутся"
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

32. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от Аноним (??) on 16-Сен-15, 11:36 
Как пишутся - известно, развидеть бы такое.


Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

57. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от Аноним (??) on 16-Сен-15, 14:20 
Пусть и не начинают. И да, никакого гита мы не знаем, только перфорс.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

60. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от Andrey Mitrofanov on 16-Сен-15, 14:38 
> Пусть и не начинают.

Дм уж. PE-exe-шники, подписываемые у м-с-а это забавно. Пока издаля и не начнёт заливать сверху, снизу, в двери и в окна.

> И да, никакого гита мы не знаем, только
> перфорс.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

69. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Аноним (??) on 16-Сен-15, 15:19 
А что, один из индусов в сиске нам рассказывал, что он фиг знает сколько лет назад познал перфорс, а всякие наши новомодные приколы, типа гита, ещё не достаточно штобильны. Да и вообще, лень ему новое изучать.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

36. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +1 +/
Сообщение от VolanD (ok) on 16-Сен-15, 12:26 
Чет я не понял. Чуваки написали ПО с бэкдором, которое поставили на циску и оно там завелось. Т.е. это бекдор не в родной прошивке, а в прошивке, которую сделали они? Если так- и чо? Во-первых, им еще нужно поставить ее на мою железку. А если им это и удалось, то они в принципе то и так могут делать что хотят, раз им удалось попасть на нее. Я чет не понял. Да и к тому же, с таким же успехом можно подставить любого другого вендора, если еще к тому же под его железку есть опенкод прошивка...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от клоун on 16-Сен-15, 16:17 
... скрытая модификация прошивок

... позволяет контролировать проходящий траффик

... способ проникновения: подбор типовых паролей

... никак себя не проявляет

... выявляется через анализ дампа прошивки

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

88. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от тыц on 16-Сен-15, 17:28 
И всё это только после того как удастся УЖЕ поиметь доступ к девайсу и поставить на него прошивку с бэкдором.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

101. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от un4me (??) on 17-Сен-15, 11:37 
Господа, а где бы взять скрипты NSEшные для сканирования nmap'ом, в блоге описание есть а файлов нет...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

102. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от un4me (??) on 17-Сен-15, 11:43 
Сори перечитал все тут https://github.com/fireeye/synfulknock/tree/master/NSE
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

103. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Барак Обама on 17-Сен-15, 16:11 
Акции Juniper резко поднялись в цене.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

105. "Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."  +/
Сообщение от Anonplus on 18-Дек-15, 19:50 
В джуниперах сегодня тоже нашли бекдор. Причем, "из коробки" ;)
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру