Школа Информационной Безопасности в Твери от Сodeby

Мы открыли свою оффлайн школу Информационной Безопасности в Твери от Сodeby. Учим без шаблонов и занудства 🙂 Подробнее ...


Сегодня обратились за помощью с интересной проблемой. Сразу несколько устройств в одной сети, подключённой по Wi-Fi, стали вместо загрузки страниц, показывать сайт с требованием заплатить куда-то 1000 рублей. Адрес сайта, на который происходило перенаправление, для вымогателей не новый — mvd.ru. Всё остальное также как обычно — ввести номер телефона, оплатить и т. д.

Интерес эта ситуация вызвала тем, что, как думалось, заражено одновременно несколько устройств сети — компьютер на Windows и пара адройд-устройств.

Это было интересно, так как вызвало вполне обоснованное предположение, что какой-то супер вирус не только проник, но и сумел инициировать заражение устройств другого класса.

Анализ было решено начать с компьютера. Антивирус ничего не находил. Файл hosts оказался пустым и это вызвало некоторое недоразумение — как, собственно, так? Хорошо, были проверены свойства сетевых адаптеров, а именно — записи DNS серверов. Они оказались пустыми.

Вернулись к мобильным гаджетам и воспользовались другим источником Интернета — никакого перенаправления на mvd.ru не было. Стало окончательно понятно, что дело в роутере.

Роутером оказался красавец ASUS RT-N66U с кастомной прошивкой — мощная штука, надо сказать. И хотя моделька уже несколько лет как не флагман, она может дать фору очень многих современным устройствам. Сразу же внимание было обращено на DNS сервера. Там были какие-то адреса (к сожалению, удалили не сохранив) — то ли от провайдера, то ли от злоумышленника. Их поменяли на привычные 8.8.8.8 и 8.8.4.4, сохранили, сбросили кэш DNS на компьютере:

Была обнаружена поднятая «левая» VPN сеть. Она также была отключена. А проблема никуда не исчезла. Скажу честно, в этом месте я крепко задумался. Была мысль опять вернуться к версии о «супер вирусе», но я решил поподробнее поизучать меню роутера.

И точно, во вкладке локальной сети также оказалось поле для DNS серверов, а в нём оказался IP адрес:



Очистка этой записи и сброс кэша DNS сразу вернули в чувство не только компьютер, но и мобильных младших братьев.

Что могут взять из моего роутера?

Резонный вопрос. Что там сделают, если получат к нему доступ? Украдут заводскую прошивку? На самом деле, получив доступ к роутеру злоумышленник сразу получает:

  • пароль Wi-Fi
  • возможность сбрасывать и менять настройки
  • возможность подключаться к локальной сети и использовать снифферы
  • предыдущий пункт приведёт к утрате паролей от различный сайтов.

Это вполне типичный список и все про него хорошо знают. Интересно новый вариант, который я открыл для себя сегодня — вымогательство денег. Представьте себе ситуацию, когда вирус заразил компьютер, компьютер отказывается показывать какую-либо страницу, кроме предложения перечислить деньги. Причём вирус настолько изощрённый, что его не видит ни один антивирус, что даже переустановка операционной системы не приносит результата. Именно такое ощущение может возникнуть у не слишком искушённых пользователей.

Для каких устройств нужно менять стандартные пароли?

Для всех! Для роутеров, для веб-камер, для телевизоров, файловых серверов. Для всех программ, к которым можно залогиниться по Интернету, в том числе, например, для MySQL.

Насколько трудно взломать роутер?

Если у вас стандартный пароль, то его и взламывать не нужно. Для всех моделей стандартные пароли давным-давно выложены в Интернете. Какова вероятность, что кто-то узнает что у меня роутер/веб-камера/файловый сервер? Как они узнают мой IP адрес? Вероятность намного выше, чем вы можете думать. Существуют специальные программы (та же самая Nmap), которые просты в использовании. И, поверьте мне, каждый день огромное количество людей проводят сканирования. Может быть, каждый день кто-то «шелестит» по вашим открытым портам своими сканерами. Зачем рисковать там, где можно совсем обходиться без риска? Меняйте стандартные пароли на свои для всех устройств, так или иначе подключённых к Интернету!



Похожие темы

Как создать зашифрованный zip файл на Linux... Допустим вы хотите создать zip архив защищённый паролем, для того чтобы тот, кто пробует распаковать zip файл, должен был ввести правильны...
Как, зная только IP, узнать приватную информацию ю... Тема для новичков. Хотя, сомневаюсь в том, чтоб залетным школохакерам этим разбрасываться. Уважаемый админ, спрячьте под хайд, опять приступ боли и ...
Обзор разделов инструментов Kali Linux 1.1.0. Част... Начало здесь: "Обзор разделов инструментов Kali Linux 1.1.0. Часть 1. Краткая характеристика всех разделов". Здесь обзор только НЕКОТО...
Kali Linux на Raspberry Pi (A/B+/2) с диском LUKS... С появлением более маленьких и более быстрых ARM устройств, таких как новый Raspberry Pi 2 (для которого сейчас собран образ Kali), мы наблюдаем всё...
Metasploit Exploitation Framework и searchsploit —... Metasploit Exploitation Framework — это инструмент для тестирования на проникновение. Он содержит большую базу эксплойтов, позволяет использовать их п...