Вирус для того чтобы воровать трафик

Обновлено: 19.04.2024

Уже 3 день наблюдаю странность. Утром интернет работает нормально, хороший для меня пинг и скорость 10мб\сек +. Но потом, а именно днем пинг и скорость значительно падают. Скорость до 2мб\сек. Я думал что большая нагрузка на сеть, все таки у меня старый ADSL интернет, через телефон и типо людей много и сеть не справляется. Но вот мне надоело и я решил проверить скорость путем скачивания фильма в торренте. Скачивает он с нормальной моей скоростью 10\мб сек, а когда проверяю интернет, то снова только 2-3. Так вот вопрос, возможно ли что я заразился каким-то вирусом который постоянно ест трафик? К слову трафик у меня сегодня 5 гигабайт, хотя я даже нечего не смотрел и не качал, только в браузере сидел. Возможно что это вредоносное ПО? Или же все таки проблема с интернет-провайдером. Просто до этого было все нормально.

Уточните где вы смотрели трафик - на сайте провайдера или в ADSL модеме? У вас кстати модем или комбо - с WiFi роутером вместе?

У меня модем с выходом на WiFi, то есть антенна встроенная. Трафик я смотрел на компьютере в управлении сетями.

Станислав Изотов Профи (969) Мягкий способ - скачать и установить программу контролер трафика и с ее помощью определить паразита. В большинство антивирусов контролер трафика уже встроен, но как правило его тяжело найти среди кучи настроек. Но попытаться можно. И кстати там же в антивирусе трафик можно запретить

Сначала закрываем все программы которые едят трафик официально. Затем открываем Диспетчер задач - выкидываем по очереди не системные процессы из памяти, смотрим на лампочку передачи данных на модеме. Когда выкиним процесс пожирающий трафик, скорость моргания должна замедлиться. По названию процесса ищем программу хозяина. Впрочем способ грубоватый и не всегда помогает - процесс может быть скрытым и т. д.

1-то, что вирус ворует трафик-возможно, но вряд ли.
2-возможно соседи через wi-fi сидят и твой трафик тянут-это уже более актуально

Пароль от wi-fi у меня не особо конечно тяжелый, но проблемный. Не думаю что через него. Да и ламочка Вай-фая на модеме не мигает, только когда я через телефон использую его.

image

Большинство абонентов считают, что работа через сотовую сеть достаточно безопасна, ведь крупный оператор связи наверняка позаботился о защите. Увы, на практике в мобильном Интернете есть множество лазеек, дающих широкие возможности для злоумышленников.

Исследователи Positive Technologies обнаружили уязвимости в инфраструктуре сетей мобильной связи, которые позволяют перехватывать GPRS-трафик в открытом виде, подменять данные, блокировать доступ к Интернету, определять местоположение абонента. Под угрозой оказываются не только мобильные телефоны, но и специализированные устройства, подключенные к 2G/3G/4G-сетям с помощью модемов: банкоматы и терминалы оплаты, системы удаленного управления транспортом и промышленным оборудованием, средства телеметрии и мониторинга и т.д.

Операторы сотовой связи, как правило, шифруют трафик GPRS между мобильным терминалом (смартфоном, модемом) и узлом обслуживания абонентов (SGSN) алгоритмами GEA-1/2/3, что осложняет перехват и расшифровку информации. Чтобы обойти это ограничение, злоумышленник может проникнуть в опорную сеть оператора, где данные не защищены механизмами аутентификации. Ахиллесовой пятой являются узлы маршрутизации (или шлюзовые узлы), которые называются GGSN. Их легко обнаружить, в частности, с помощью поисковика Shodan. У проблемных узлов открыты GTP-порты, что позволяет атакующему установить соединение, а затем инкапсулировать в созданный туннель управляющие пакеты GTP. При правильном подборе параметров GGSN воспримет их как пакеты от легитимных устройств сети оператора.

image

Еще одна возможность для атак связана с тем, что GTP — далеко не единственный протокол управления на найденных узлах. Также встречаются Telnet, FTP, SSH, Web и др. Используя уязвимости в этих интерфейсах (например, стандартные пароли), нарушитель может подключиться к узлу оператора мобильной связи.

Экспериментальный поиск по сайту Shodan выдает несколько уязвимых устройств, в том числе с открытым Telnet и отключенным паролем. Достаточно подключиться к данному устройству и произвести в нем необходимые настройки для того, чтобы оказаться внутри сети оператора в Центральноафриканской Республике.

image


При этом всякий, кто получил доступ к шлюзовому узлу любого оператора, автоматически получает доступ к сети GRX, которая объединяет всех сотовых операторов и используется для предоставления доступа к Интернету абонентам в роуминге. Воспользовавшись единичной ошибкой в конфигурации на одном устройстве, злоумышленник получает возможность проводить различные атаки на абонентов любого оператора в мире.

Среди множества вариантов использования скомпрометированного пограничного узла следует отметить следующие: отключение абонентов от Интернета или блокировка их доступа к нему; подключение к Интернету под видом другого абонента и за чужой счёт; перехват трафика жертвы и фишинг. Злоумышленник также может определить идентификатор абонента (IMSI) и следить за местоположением абонента по всему миру, пока он не сменит SIM-карту.

Опишем некоторые угрозы более подробно.

Интернет за чужой счет

Цель: исчерпание счета абонента, использование подключения в противозаконных целях.

Вектор атаки: злоумышленник действует через сеть GRX или из сети оператора.


Результат: подключение к сети Интернет под видом легитимного абонента.

Перехват данных

Цель: подслушивание трафика жертвы, фишинг.

Вектор атаки: злоумышленник действует через сеть GRX или из сети оператора.


Результат: подслушивание или подмена трафика жертвы, раскрытие конфиденциальной информации.

DNS-туннелирование

Цель: получить нетарифицируемый доступ к Интернету со стороны мобильной станции абонента.

Вектор атаки: злоумышленник — абонент сотовой сети, действует через мобильный телефон.

Давно известная атака, уходящая корнями во времена dial-up, потерявшая смысл при появлении дешевого и быстрого выделенного Интернета. Однако в мобильных сетях находит применение, например, в роуминге, когда цены за мобильный Интернет неоправданно высоки, а скорость передачи данных не так важна (например, для проверки почты).

Суть атаки в том, что некоторые операторы не тарифицируют DNS-трафик, обычно для того, чтобы переадресовать абонента на страницу оператора для пополнения счета. Этим можно воспользоваться — путем отправления специализированных запросов на DNS-сервер; также для этого необходим специализированный узел в интернете, через который будет осуществляться доступ.


Результат: получение нетарифицируемого доступа к сети Интернет за счет оператора сотовой связи.

Подмена DNS на GGSN

Цель: подслушивание трафика жертвы, фишинг.

Вектор атаки: злоумышленник действует через Интернет.


Результат: подслушивание или подмена трафика всех абонентов, сбор конфиденциальных данных, фишинг

Как защититься

Некоторые подобные атаки были бы невозможны при правильной настройке оборудования. Но результаты исследования Positive Technologies говорят о том, что некорректная настройка — отнюдь не редкость в мире телекоммуникационных компаний. Зачастую и производители устройств оставляют включенными некоторые сервисы, которые должны быть отключены на данном оборудовании, что дает нарушителям дополнительные возможности. В связи с большим количество узлов подобный контроль рекомендуется автоматизировать с использованием специализированных средств, таких как MaxPatrol.

image


В целом, необходимые для защиты от таких атак меры безопасности включают правильную настройку оборудования, использование межсетевых экранов на границах сети GRX и Интернета, использование рекомендаций 3GPP TS 33.210 для настройки безопасности внутри сети PS-Core, мониторинг защищенности периметра, а также выработку безопасных стандартов конфигурации оборудования и периодический контроль соответствия этим стандартам.

Ряд специалистов возлагают надежды на новые стандарты связи, которые включают и новые технологии безопасности. Однако, несмотря на появление таких стандартов (3G, 4G), совсем отказаться от сетей старого поколения (2G) не удастся. Причиной этого являются особенности реализации мобильных сетей, в частности то, что у базовых станций 2G лучше покрытие, а также то, что на их инфраструктуре работают и сети 3G. В стандарте LTE все так же используется протокол GTP, а поэтому необходимые меры по защите будут актуальными в обозримом будущем.


Эта статья о том, как стать кулхацкером (или по-английски Script Kiddie) — условным злоумышленником, который испытывает недостаток знаний в области программирования и использует существующее программное обеспечение, чтобы провести атаку на смартфоны и планшеты своих одноклассников.

Шучу. На самом деле передо мной стояла задача понять две вещи:

Отправная точка

Сразу скажу, что хотя часть моих опытов проводил в настоящих публичных сетях, “неправомерный доступ” я получал только к браузерам своих собственных устройств. Поэтому фактически Главу 28 УК РФ я не нарушал, и Вам настоятельно нарушать не советую. Данный эксперимент и статья предлагаются к ознакомлению исключительно в целях демонстрации небезопасности использования публичных беспроводных сетей.

Железо

В качестве инструментария для эксперимента я использовал следующий инструментарий:

  • Любая публичная WiFi сеть на фудкорте
  • Нетбук Acer Aspire one D270
  • Встроенная wifi карта Atheros AR5B125
  • Внешний wifi usb адаптер WiFi TP-LINK Archer T4U v3
  • Внешний wifi usb адаптер TP-LINK Archer T9UH v2
  • Kali Linux c версией ядра 5.8.0-kali2-amd64
  • Фреймворк Bettercap v2.28
  • Фреймворк BeEF 0.5
  • Несколько смартфонов и планшетов на Android 9 и ноутбук на Windows 7 в качестве устройств-жертв.

У встроенной карты Atheros AR9485 была великолепная поддержка всех режимов и драйвер “из коробки” в Kali, но невозможность управлять мощностью сигнала и слабая антенна сводили на нет эффективность данной карты на фазе активного вмешательства в трафик.

У WiFi TP-LINK Archer T4U v3 не было драйвера из коробки, а тот который я нашел на Github, не имел поддержки режима точки доступа (AP) и его нужно было компилировать самостоятельно.

Карточка TP-LINK Archer T9UH v2 заработала идеально с драйвером из коробки, на ней то у меня все и получилось.

Первым делом я установил Kali Linux 5.8.0 на свой ноутбук. Единственный SSD в ноутбуке был пустым и предназначался целиком для эксперимента, что избавило меня от некоторых трудностей с разбивкой разделов и резервным копированием старых данных с него, поэтому при установке я использовал все варианты “по умолчанию”. Я все же столкнулся некоторыми тривиальными проблемами вроде потери монтирования флешки с дистрибутивом в процессе установки и обновления системы до последней актуальной версии из репозитория.


Затем нужно было запустить инструменты проникновения, ими будут Bettercap и BeEF. С их помощью мы принудим браузеры “жертв” отказаться от шифрования трафика и внедрим в просматриваемые сайты троянский JavaScript.

Bettercap — это полный, модульный, портативный и легко расширяемый инструмент и фреймворк с диагностическими и наступательными функциями всех видов, которые могут понадобиться для выполнения атаки “человек посередине”. Bettercap написан на Go, основная разработка проекта проходила до 2019 года, сейчас происходят лишь небольшие исправления. Однако, как мы увидим позднее этот инструмент в быстро меняющемся мире информационной безопасности сохраняет свою актуальность и на закате 2020 года. Bettercap поставляется со встроенным модулями arp spoof и sslstrip. Именно Bettercap должен перехватывать трафик и внедрять в него вредоносную нагрузку.

BeEF — это фреймворк, позволяющий централизованно управлять пулом зараженных через XSS-атаку (сross-site scripting) клиентов, отдавать им команды и получать результат. “Злоумышленник” внедряет на уязвимый сайт скрипт hook.js. Скрипт hook.js из браузера “жертвы” сигналит управляющему центру на компьютере “злоумышленника” (BeEF) о том, что новый клиент онлайн. “Злоумышленник” входит в панель управления BeEF и удаленно управляет зараженными браузерами.

Я использовал версии Bettercap v2.28 и BeEF 0.5 Они оба уже есть в составе Kali Linux 5.8.0
Открываем окно командной строки и вводим команду


Стартует первая часть нашего зловредного бутерброда — фреймворк BeEF.


Оставляем вкладку с BeEF открытой, мы в нее вернемся позже.

Перейдем к второй части бутерброда — Bettercap. Тут был подводный камень — Bettercap, уже имевшийся в системе, отказывался стартовать сервисом и выдавал другие непонятные мне ошибки. Поэтому я его решил удалить и поставить заново вручную. Открываем окно командной строки и выполняем команды:


Затем скачиваем браузером бинарную версию Bettercap v2.28 в архиве в папку загрузки. Обратите внимание, что я выбрал версию для своей архитектуры ядра.

Теперь распаковываем и размещаем исполняемый файл в системе Bettercap в папку, предназначенную для ручной установки.


Самый простой способ начать работу с Bettercap — использовать его официальный веб-интерфейс пользователя. Веб-интерфейс работает одновременно с сервисом rest API и интерактивной сессией командной строки. Чтобы установить веб-интерфейс нужно выполнить команду:


Внимание! Уже на этом этапе нужно обязательно подключиться к атакуемой беспроводной сети, получить ip-адрес для беспроводного интерфейса атакующей машины и запомнить его (команда ifconfig поможет его узнать).


Теперь можно открыть в браузере еще одну вкладку с адресом 127.0.0.1 (без номера порта!) и войти в систему, используя учетные данные, которые были подсмотрены или настроены на предыдущем шаге (обычно это user/pass).


Веб-интерфейс Bettercap полностью дублирует командную строку, поэтому все действия которые мы будем делать из командной строки, можно сделать и из веб-интерфейса (запуск модулей, смена режимов, просмотр изменение значение переменных, вывод диагностической информации)

Продолжаем в командной строке и проведём первоначальную разведку беспроводной сети, к которой мы уже подключены в качестве обычного клиента.


net.recon on — Запускает обнаружение сетевых хостов.
net.probe on — Запускает активное зондирование новых хостов в сети через отправку фиктивных пакетов каждому возможному IP в подсети.
net.show — Даёт команду отобразить список кэша обнаруженных хостов.
net.probe off — Выключает модуль активного зондирования.
Настраиваем переменные Bettercap, чтобы он:


Затем запускаем атаку против пользователей беспроводной сети:
Команды






А на машине “злоумышленника” в контрольной панели фреймворка BeEF, в разделе Online Browsers тем временем появится запись о новом браузере, пойманном на крючок. Выбираем этот браузер мышью, переходим в суб-вкладку Commands, на каталог Browsers, потом последовательно Hooked domain → Get Cookie → Execute


Выводы

Выводы по результатам эксперимента неутешительные. Браузеры еще не могут на 100% защитить пользователей от вмешательства в трафик или подмены настоящего сайта фишинговым. Механизм HSTS срабатывает только для пары тысяч самых популярных сайтов и оставляет без надежной защиты миллионы других. Браузеры недостадочно явно предупреждают о том, что соединение с сервером не зашифровано. Еще хуже дело обстоит в беспроводных сетях, где доступ к среде передачи данных есть у любого желающего, при этом почти никто из пользователей вообще никак не проверяет подлинность самой точки доступа, а надежных методов проверки подлинности точек доступа просто не существует.

Если вы проведете поиск в Google по (бессмысленной на первый взгляд) комбинации "a0b4df006e02184c60dbf503e71c87ad" или "a995d2cc661fa72452472e9554b5520c", то на первых же страницах наткнетесь на оживленное обсуждение вирусных проблем на сайтах. Эта беда (сайтовый вирус, идентифицируемый в Интернете по этим комбинациям) довольно активно обсуждается в западном секторе сети вот уже около полугода. Универсального решения я пока в этих обсуждениях не нашел.

Сам столкнулся с этой проблемой в начале лета, и с тех пор возвращаюсь к ней достаточно регулярно.

И вот, вчера, подвергнувшись очередному "нашествию", задался вопросом: почему в Рунете (то есть именно в русскоязычной части сети) нет информации об этой проблеме? Потому что нет пострадавших (кроме меня, несчастного)? Или потому что об этом просто никто не знает? А может быть потому, что проблема эта в Рунете давно решена и не представляется серьезной (но я просто по своей беспросветности этого не знаю)?

Как бы там ни было, если кто-то сталкивался с чем-то подобным на своем сайте, было бы интересно обсудить.

Данная разновидность вируса ворует поисковый трафик. Внутренние симптомы: регулярное появление на сайте директории с редиректом поискового трафика на чужие ресурсы. Физическое удаление этой папки не помогает, - папка возрождается как феникс достаточно регулярно. Вирус модифицирует многие htaccess-файлы и почти все css и js файлы. Внешние симптомы: переход на сайт по результатам поискового запроса приводит к переходу на чужой ресурс.

Кто-нибудь сталкивался?

На правах рекламы

и снова в отпуске ))

Константин, как папка называется? которая появляется и где.

Денис, эта папка у разных пользователей может называться по-разному. В моем случае она называется "atacaju" и появляется она в директории старого "дятла" WP2 (это мой недосмотр: скрипт давно проапгрейдился и переехал в другую папку, но старую я просто забыл удалить. вот в ней он и поселился, видимо найдя какие-то "бреши"). Причем прикольно, что удаление всей ветки (исходной директории) теперь результата не дает. Она вся целиком возрождается (разумеется, только в вирусной своей части, но зато от корневого каталога).
Другие пользователи называют другие папки. Так что дело скорее всего не в названии. Кроме того, я заметил, что редиректы тоже могут быть разными от случая к случаю: иногда ЭТО редиректится на конкретный вирус, а иногда просто на чужой внешне "чистый" ресурс.
Общим признаком этого "зловреда" является изменение htacess файлов, java-скриптов и css-файлов. К последним после нескольких сотен пробелов (чтобы в глаза не бросалось) добавляется закодированный вирусный код.
Чуточку подробнее я описал это в блоге сегодня.

Неужели и обращение к хостеру не дает никаких результатов в борьбе с этой напастью.

Неужели и обращение к хостеру не дает никаких результатов в борьбе с этой напастью.

Последний ответ хостера меня даже немного развеселил. Цитирую (усиления - мои):

"В данный момент ваш сайта работает исправно. Для предотвращения такой ситуации вам необходимо сменить пароль.

Пользователь сам несёт ответственность за свой контент, так он является владельцем этого контента, и поэтому пользователь должен самостоятельно удалить нежелательный код из своего сайта. И для того чтобы эта ситуация не повторялась в будущем, вам необходимо. "

В общем-то, у меня нет претензий к хостеру. Я их понимаю. Они, по большому счету, и не должны вмешиваться в содержание моего сайта. Кто-то ведь и умышленно может держать на сайте редиректы.
Хотя, если пользователь жалуется. то могли бы, конечно и помочь.

Ну а советы, которые они дают в подобны ситуациях, достаточно банальны (снова цитирую):

". вам необходимо:
- проверить все компьютеры, через которые вы заходили на хостинг, на наличие вирусов.
- включить архивирование логов в панели управления.
- сменить пароли.
- если ваш сайт на php, то вам необходимо обновить движок сайта.
- и в будущем пароли не хранить на компьютере."

Пароль от этого сайта никогда не хранился на компьютере. Поэтому этот вариант практически отпадает. Тем более, что пароль меняется с тех пор регулярно. Вероятность того, что на моем компе вот уже два месяца сидит какой-нибудь троян-кейлогер. Ну. всякое бывает, но, честно говоря, маловероятно. Ставить сниффер на мой сайт никто не станет - игра не стоит свеч.
Так что, по всей вероятности это какая-то инъекция. Вопрос только в том - почему нет других пострадавших и почему она иногда возвращается: потому что я что-то "недочистил" с первого раза, или потому что какие-то скрипты содержат бреши, используемые время от времени вирусными ботами.
Разберемся, конечно, в итоге. Но просто интересно, как дела у остальных. Может быть кто-то тоже уже давно страдает от этой напасти, но просто не знает об этом В этом, собственно, и была основная цель данной темы: призвать сайтовладельцев проверить свои htaacess-ы в голове сайта.

Читайте также: