Τα Kaspersky Labs εντόπισαν ένα πολύ εξελειγμένο malware -πιθανόν state sponsored- με την κωδική ονομασία Slingshot, το οποίο επιτίθεται μέσω πολλαπλών επιπέδων, στοχεύοντας σε δίκτυα με MikroTik routers και το management software τους, για να διεισδύσει στους υπολογιστές στόχους του.
Σύμφωνα με τους αναλυτές, το Slingshot είναι ενεργό από το 2012 και μπορεί να υποκλέψει τα πάντα από το θύμα του.It first replaces a library file with a malicious version that downloads other malicious components, and then launches a clever two-pronged attack on the computers themselves. One, Canhadr, runs low-level kernel code that effectively gives the intruder free rein, including deep access to storage and memory; the other, GollumApp, focuses on the user level and includes code to coordinate efforts, manage the file system and keep the malware alive.
Η πρόσφατη αναβάθμιση για τα MikroTik routers πρέπει να τα ασφαλίζει από το Slingshot, σύμφωνα με τις εκτιμήσεις.
Πηγή : Egadget
Εμφάνιση 1-15 από 26
-
12-03-18, 11:29 Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.830
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
12-03-18, 11:35 Απάντηση: Εξελιγμένο malware στοχεύει MiktoTik routers για να μολύνει τα θύματα του #2
- Εγγραφή
- 15-11-2002
- Περιοχή
- ΠΑΤΡΑ - ΑΝΩ ΠΟΛΗ
- Ηλικία
- 48
- Μηνύματα
- 1.546
- Downloads
- 3
- Uploads
- 0
- Άρθρα
- 2
- Τύπος
- VDSL2
- ISP
- Vodafone
Οσοι ειναι πριν το (RouterOS v6.38.5) κινδυνευουν. Απο το μαρτιο του 2017 και μετα οσοι εχουν αναβαθμιστει δεν εχουν προβλημα.
-
12-03-18, 15:24 Απάντηση: Εξελιγμένο malware στοχεύει MiktoTik routers για να μολύνει τα θύματα του #3
Υπάρχουν διάφορες ευπάθειες που έκλεισαν στο 6.38.5 (πχ flood DOS), αλλά δεν νομίζω ότι το Slingshot έχει να κάνει με αυτές. Από όσα έχω προλάβει να δω μέχρι τώρα, το Slingshot είναι χωριστό malware που κατά βάση επηρεάζει το σύστημα (PC με Windows) από το οποίο κάποιος τρέχει Winbox για τη διαχείριση των Mikrotik, και δεν είναι ακόμη εντελώς σαφές πώς έχουν προσβληθεί οι ρούτερ, για να έχουν "κακό" Winbox. Μεταξύ των πραγμάτων που ανέφερε η ΜΤ, είδα και να μιλάει για απαίτηση κλειστού firewall, εκτός ότι η ευπάθεια επηρεάζει γενικά "παλιές εκδόσεις" του ROS.
Όπως και να έχει, μάθαμε για άλλη μια πολύ σημαντική τρύπα ασφαλείας που κυκλοφορεί εκεί έξω... Οι τελευταίοι μήνες ήταν πολύ παραγωγικοί .
-
12-03-18, 18:40 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #4
Αυτό που καταλαβαίνω εγώ είναι ότι μολύνεται το winbox και μετά επηρεάζει το ROS.
Όχι ότι είναι κάποια τρύπα στο ROS που κάποιος από έξω μπορεί να εκμεταλλευτεί για να κάνει τα περαιτέρω.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
12-03-18, 19:06 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #5
γιατι ακριβως μονο τα mikrotik?
-
12-03-18, 19:40 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #6
Πρώτα εκτίθεται ο ρούτερ και μετά ο υπολογιστής. Φορτώνει πάνω στο ρούτερ το payload σε μορφή DLL, το οποίο εγκαθίσταται στους υπολογιστές όταν τρέξουν Winbox και συνδεθούν με το προσβεβλημένο ρούτερ.
Αυτό που δεν είναι ιδιαίτερα σαφές είναι το πρώτο βήμα. Είναι πολύ πιθανό να πρόκειται για περιπτώσεις ελλιπούς ασφάλειας, όπου το web interface είναι ανοιχτό στον έξω κόσμο χωρίς δικλείδες ασφαλείας, με αποτέλεσμα να πάρουν διαχειριστική πρόσβαση στο ρούτερ.
Οι στόχοι μέχρι τώρα φαίνεται να βρίσκονται κυρίως σε Αφρική και Μέση Ανατολή, όπου τα Mikrotik είναι αρκετά δημοφιλή.
Για περισσότερο διάβασμα:
https://www.darkreading.com/endpoint...d/d-id/1331229
https://www.wired.com/story/router-h...n-100-targets/
-
12-03-18, 21:22 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #7
https://forum.mikrotik.com/viewtopic.php?f=2&t=131748
δλδ το προβλημα ειναι οταν τρεχεις winbox μονο? και απο windows μονο? σωστα???
καταρχην συμφωνα με το επισημο forum αυτο εχει διορθωθει ενα χρονο πριν....γιατι γινεται θεμα τωρα ειναι αγνωστον!Τελευταία επεξεργασία από το μέλος Nikiforos : 12-03-18 στις 23:24.
-
12-03-18, 23:11 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #8
Γι αυτο και εμεις επιλεγουμε σταθερα speedport ρουτερ. Δεν το ξέρει κανείς, δεν ασχολείτε κανεις μαζί του και θα ειμαστε για παντα ασφαλής
-
12-03-18, 23:59 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #9
-
13-03-18, 07:26 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #10
-
13-03-18, 10:07 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #11
-
13-03-18, 11:16 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #12
-
13-03-18, 17:28 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #13
Το αρχικό vulnerability όπου επέτρεπε (μεταξύ άλλων) σε κάποιον να αντικαταστήσει ένα dll στον router μέσω του http server του Mikrotik έχει γίνει patch από τις 9 Μαρτίου 2017 (v6.38.5).
Εδώ και η επίσημη ανακοίνωση της Mikrotik στις 8 Μαρτίου 2017, μία μέρα πριν το patch.
https://forum.mikrotik.com/viewtopic.php?f=21&t=119308
Από εκεί και πέρα το exploit πέρναγε μόνο σε όσους χρησιμοποιούν Winbox 2.x το οποίο κατεβάζει τα DLLs από τον router για τα επιμέρους πακέτα που έχει ενεργοποιημένα (και κατ'επέκταση για να εμφανίσει το winbox τα σχετικά μενού του) και κάνει ότι είναι να κάνει σύμφωνα με το report της Kaspersky.
Όσοι χρησιμοποιούν Winbox 3 (το οποίο κυκλοφορεί πολύ περισσότερο από 1 χρόνο) δεν μπορεί να σου κάνει inject DLL αφού έχει αλλάξει η αρχιτεκτονική του και πλέον δεν κατεβάζει κανένα DLL από τον router.
Άρα όσοι χρησιμοποιούν Winbox3 έτσι και αλλιώς - ακόμα και με φαγωμένο/ανενημέρωτο router - δεν διατρέχουν κανένα κίνδυνο αφού δεν υφίσταται καν το attack vector που έχει το winbox2.
Όσοι χρησιμοποιούν Winbox2 και έχουν ανενημέρωτο τον router τους εδώ και 1 χρόνο (με 14 releases από τότε μέχρι σήμερα) τότε κακό του κεφαλιού τους.
Εξάλλου το Winbox2 είναι πλέον ημι-λειτουργικό αφού η Mikrotik έχει σταματήσει την υποστήριξη του εδώ και πολύ καιρό. Αν μπεις σήμερα σε φρέσκο router με winbox2 δεν δουλεύουν όλα τα πράγματα σωστά.
Άρα όποιος έχει αναβαθμίσει τον router του, εκ των πραγμάτων έχει υποχρεωθεί να χρησιμοποιήσει Winbox3.
Από εκεί και πέρα, ακόμα και να μην αναβαθμίσει κάποιος τον router και το winbox, αν έχει στήσει σωστά τον router (ie: proper firewall που να κόβει το port 80 στο input chain) τότε δεν μπορεί κάποιος απέξω να κάνει inject το DLL στον router και από εκεί να μολυνθεί ο admin του.
Με άλλα λόγια δεν διαφέρει και πολύ από το να αφήσεις ένα windows XP χωρίς SP χωρίς firewall χύμα στο internet. Αργά ή γρήγορα θα στο φάνε :P
Προσωπικά βρίσκω την όλη είδηση ανούσια. Είναι σαν να βγει κάποιος σήμερα και να λέει τι μπορείς να κάνεις με το MS.Blaster και πόσο επικίνδυνο worm είναι.
Ναι είναι... ΑΝ δεν έχεις περάσει patches στα windows εδώ και 15 χρόνια
-
13-03-18, 17:36 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #14
-
13-03-18, 17:48 Απάντηση: Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του #15
Αν ο άλλος δεν περνάει updates εδώ και ένα χρόνο (για να μην σχολιάσω το paper της Kaspersky που μιλάει για infections σε routers με v5.20 - δηλαδή δεν έχουν αναβαθμίσει εδώ και 6 χρόνια!) δεν θα τον ξε-κουνήσει μία είδηση.
Άσε που είμαι σχεδόν σίγουρος πως αυτά τα 5.20 installations είναι τα στάνταρ κινέζικα backdoored που κυκλοφορούν στα torrentάδικα.
Άρα και να θέλανε δεν θα μπορούσαν να αναβαθμίσουν (οκ, μπορούν να πάνε μέχρι την 5.26 αλλά δεν λύνει κάτι αυτό).
Αν ο άλλος είναι τόσο τζαμπατζής που για να γλυτώσει 40$ βάζει backdoored λειτουργικό στον router του (και μάλιστα ΧΩΡΙΣ σωστό firewall), νομίζω του αξίζει να τον φάνε
Παρόμοια Θέματα
-
Ποιος είναι ο καλύτερος ADSL router για να αγοράσω ?
Από cmos στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 5579Τελευταίο Μήνυμα: 20-09-20, 11:26 -
[Other] αλλαγη router για να μην εχω αποσυνδεσεις;
Από mattbarlow στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 8Τελευταίο Μήνυμα: 17-12-17, 23:21 -
Μ. Τσαμάζ: «Αρνούμαι να δώσω τα κλειδιά του ΟΤΕ στην ΕΕΤΤ»
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 71Τελευταίο Μήνυμα: 03-12-17, 17:19 -
Ερευνητές εισάγουν malware σε τμήμα DNA για να παραβιάσουν τον υπολογιστή που το αναλύει
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 5Τελευταίο Μήνυμα: 13-08-17, 16:09 -
Οι διαδικτυακές αγορές ενώνουν τις δυνάμεις τους για να αποσυρθούν τα επικίνδυνα προϊόντα από την αγορά της ΕΕ
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 1Τελευταίο Μήνυμα: 19-03-17, 16:49
Bookmarks