Τσέχοι ερευνητές του τμήματος Επιστήμης Υπολογιστών του πανεπιστημίου Masaryk ανακάλυψαν το botnet που εξαπλώνεται βασιζόμενο στα ελλιπώς προστατευμένα router και DSL modem. Το botnet απέκτησε το παρατσούκλι “Chuck Norris” εξαιτίας ενός σχολίου στις γραμμές του κώδικά του που ανέφερε “στο όνομα του Chuck Norris” στα Ιταλικά Οι ειδικοί στα ζητήματα ασφαλείας ισχυρίζονται ότι σήμερα πολλοί τύποι botnet έχουν μολύνει εκατομμύρια υπολογιστές παγκοσμίως, όμως ο“Chuck Norris” διαφέρει ως προς το γεγονός ότι μολύνει DSL modem και router αντί για υπολογιστές.
Όπως και το Psyb0t παλαιότερα, ο “Chuck Norris”, μπορεί να μολύνει μία συσκευή βασισμένη στο MIPS που έχει λειτουργικό σύστημα Linux αν ο κωδικός του διαχειριστή δεν είναι αρκετά δύσκολος. Ο συνδυασμό MIPS/Linux είναι ευρέως υλοποιημένος σε DSL modem και router, αλλά το συγκεκριμένο botnet επιτίθεται και σε δέκτες δορυφορικής τηλεόρασης.
'Αλλο γνωστό ευάλωτο σημείο των συσκευών D-Link έχει δηλωθεί ότι είναι μέσα στον τρόπο εκδήλωσης της επίθεσής του. Εκπρόσωπος της D-Link δήλωσε ότι δεν είχε υπόψη του το συγκεκριμένο botnet η εταιρεία και γι’αυτό δεν είχε να πει κάτι επί του θέματος.
Για το μέγεθος της ζημιάς που μπορεί να προκαλέσει ο “Chuck Norris” εικάζεται ότι μπορεί να εκτελέσει κώδικα σπασίματος κωδικού μέσω λημμάτων λεξικών έναντι άλλου υπολογιστή και ότι μπορεί επίσης να αλλάξει τις παραμέτρους DNS (Domain Name System) σε ένα router.
Με την τελευταία δυνατότητα, τα θύματα που συνδέονται με το μολυσμένο router, ενώ προσπαθούν να συνδεθούν με δημοφιλείς σελίδες (facebook, google), ανακατευθύνονται σε ιστοσελίδες στις οποίες εκτελείται κώδικας που προσπαθεί να εγκαταστήσει ιό στους υπολογιστές. Μετά την εγκατάσταση στη μνήμη του router, το botnet κλείνει τις θύρες απομακρυσμένης επικοινωνίας και ξεκινά να σαρώνει το δίκτυο για άλλες ευάλωτες συσκευές. Δύναται να ελεγχθεί μέσω IRC. Με δεδομένο ότι ο “Chuck Norris” βρίσκεται στη RAM της συσκευής, μπορεί να απομακρυνθεί με επανεκκίνηση της συσκευής.
Οι χρήστες που δεν επιθυμούν να μολυνθεί η συσκευή τους, μπορούν να μετριάσουν τον κίνδυνο, χρησιμοποιώντας ασφαλή κωδικό στο router ή το modem. Επίσης μπορούν να αποφύγουν τον κίνδυνο με το να ενημερώνουν το firmware της συσκευής τους και να απενεργοποιήσουν την δυνατότητα απομακρυσμένης πρόσβασης.
Τα τελευταία χρόνια οι hacker έχουν αρχίσει να εστιάζουν σε συσκευές όπως τα router, που συχνά δεν είναι επαρκώς ασφαλισμένα. “Δεν ενημερώνονται τακτικά με τις αναβαθμίσεις ασφαλείας, παρόλο που οι ενημερώσεις είναι διαθέσιμες.” Οι συσκευές “είναι διαρκώς συνδεδεμένες στο διαδίκτυο και έχουν uptime ημερών ή και μηνών”.
Αναμένεται ότι στο μέλλον ακόμα περισσότερα malware θα στοχεύουν τέτοιες συσκευές. Παρ' όλη τη σπανιότητά τους, τα botnet που βασίζονται στα router, δεν είναι δύσκολο να δημιουργηθούν, μιας και τα κενά ασφαλείας στα router εμφανίζονται κάθε τόσο, σύμφωνα με τον Dancho Danchev, ανεξάρτητο αναλυτή διαδικτυακών απειλών.
Παράθεση:
quote:
Λοιπόν, πώς μπορείτε να προστατευθείτε από το «Τσακ Νόρις»;-Αλλαγή όλων των κωδικών πρόσβασης του ρούτερ και φροντίστε να χρησιμοποιήσετε έναν ισχυρό κωδικό πρόσβασης.
-Ενημέρωση του router με το πιο πρόσφατο firmware.
-Αποκλείστε ή διακόψτε την δυνατότητα απομακρυσμένης πρόσβασης.
Σημείωση: Ίσως χρειαστεί να συμβουλευτείτε το εγχειρίδιο του ρούτερ για να μάθετε πώς θα γίνουν όλα αυτά.
Αν νομίζετε ότι το ρούτερ σας έχει προσβληθεί, τότε πρέπει να:
-Κάνετε μια επανακίνηση του ρούτερ (αυτό θα σβήσει τον κακόβουλο κώδικα από τη μνήμη).
-Κάνετε τις απαραίτητες ενημερώσεις firmware.
-Κάνετε reset όλες τις ρυθμίσεις και βάλτε τις πάλι από την αρχή, φροντίζοντας να επιλέξετε ισχυρούς κωδικούς για τον διαχειριστή του συστήματος (admin).
-Κάνετε σάρωση (scan) όλων των συνδεδεμένων συσκευών για κακόβουλα προγράμματα χρησιμοποιώντας ένα ενημερωμένο ενημερωμένο πρόγραμμα ανίχνευσης ιών.
Botnet μολύνει και Router
Απεστάλη: 03/03/2010, 22:46:36
