Nuevo Gusano Infecta Routers, Modems, y Sistemas GNU Linux

Un nuevo gusano llamado psyb0t descubierto por la empresa DroneBL, acecha la red, esto no es nada nuevo, todos los días salen gusanos tratando de conseguir la mayor cantidad de víctimas posibles para convertirlos en zombies y realizar las tareas que encargue su creador, pero este gusano tiene una particularidad que lo hace diferente, es capaz de infectar routers, modems y sistemas gnu linux.

Es la primera vez que se observa un ataque exitoso utilizando la infección en este tipo de dispositivos y se calcula que el número de afectados supera los 100.000 equipos y va en aumento, ya que su detección y desinfección son complicadas y “difíciles” de llevar a cabo para un usuario promedio.

El psyb0t se propaga a través de los servicios ssh, telnet y http, explotando vulnerabilidades en ellos o realizando ataques de fuerza bruta ante contraseñas débiles en los usuarios, tan pronto logra acceder al dispositivo descarga un archivo malicioso que permite a su creador administrar remotamente el dispositivo robando información sensible que pasa por el, realizando denegaciones de servicio o cualquier otra tarea que desee realizar su creador, aparte de esto modifica las reglas del firewall para impedir el acceso a el panel de administración del dispositivo.
Si notas un comportamiento extraño en tu red y ya descartaste infecciones de los equipos que la confirman, no olvides revisar la configuración de tu router o modem, si no puedes entrar al panel de control de ellos posiblemente estas infectado con el psyb0t.
Recomendaciones si estas Infectado con el psyb0t

  • Resetea La Configuración de tu Dispositivo
  • Actualiza tu firmware a la última versión
  • Sigue las Instrucciones indicadas por DroneBL

Recomendaciones para evitar ser infectado por el psyb0t

  • Mantén al día la versión de tu firmware
  • Utiliza contraseñas fuertes
  • Deshabilita los servicios que no utilices en tus dispositivos
  • Revisa periódicamente el panel de control de tus aparatos
Para Más Información:
DroneBL
Psyb0t Attacks Linux Routers
Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux!


Fuente: http://www.dragonjar.org/nuevo-gusano-infecta-routers-modems-y-sistemas-gnu-linux.xhtml
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
Falto mencionar que dicho virus solo funciona en la plataforma mipsel (procesadores MIPS), por lo que los usuarios de escritorio y servidores estan a salvo.

Sobre los routers solo se es vulnerable si NO se toman las medidas basicas de precaucion como cambiar la contraseña por defecto y evitar que se acceda a la configuracion de este de manera remota, sin estas precauciones cualquier router esta inseguro sin importar el SO/firmware que tenga.

Saludos

P.D: Viendo esto se me ocurre hacer un bot para messenger o irc y dejarlo corriendo en mi router (que esta prendido 24/7), seria bastante interesante xD.
 

★Supermegaman™►

Lanero Reconocido
Se unió
23 Oct 2006
Mensajes
2,464
No le he cambiado la contraseña de fabrica a mi Modem inalambrico, pero lo modifiqué para que solo Nuevas estaciones esten permitidas mediante registro.

Que tan seguro es esto?
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
Los modem tienen la opcion de evitar que personas ajenas a la red puedan acceder a la configuracion, si activas esa opcion sera mas que suficiente para que estes seguro.

Saludos
 

[sC+].B@rt.Oc3

Lanero Reconocido
Se unió
13 Abr 2007
Mensajes
4,196
Falto mencionar que dicho virus solo funciona en la plataforma mipsel (procesadores MIPS), por lo que los usuarios de escritorio y servidores estan a salvo.

Sobre los routers solo se es vulnerable si NO se toman las medidas basicas de precaucion como cambiar la contraseña por defecto y evitar que se acceda a la configuracion de este de manera remota, sin estas precauciones cualquier router esta inseguro sin importar el SO/firmware que tenga.

Saludos

P.D: Viendo esto se me ocurre hacer un bot para messenger o irc y dejarlo corriendo en mi router (que esta prendido 24/7), seria bastante interesante xD.


gracias por el dato procedo a actualizar contraseñas de los router del trabajo.... y a investigar mas sobre etse caso....=)
 

xangre

Lanero Reconocido
Se unió
19 Oct 2004
Mensajes
4,004
uish mi router ayer se chispoteo ... y tenia clave por default mmmm las piezas del rompecabezas van calzando :S
 

leo911

Lanero Reconocido
Se unió
3 Ene 2006
Mensajes
957
cuando dice en recomendaciones "revisar periodicamente el panel de control de tus aparatos" ¿que quiere decir esto?, como los verifico o reviso?

gracias
 

psykho

Lanero Reconocido
Se unió
11 Jul 2004
Mensajes
998
Sera que es hora que los isp de colombia contraten gente calificada para la instalacion de internet por que todos los modems tienen password por default ademas solo es cargarse el *.cfg o *.bin y depurarlo leerlo y sale la contrasena. http://www.irongeek.com/i.php?page=videos/intro-to-dd-wrt-mod-your-wireless-router-to-do-more , http://www.intruders.com.br/advisories/dlinkpt.txt , http://threatpost.com/blogs/researchers-unveil-persistent-bios-attack-methods
es facil cargarse la configuracion es solo conocer la ip y yap, un caso conocido una empresa con un firewall en centOs y 3 routers Dlink, los servers en WinS2003K. y el router huawei(que es cisco a la inversa) adivinen que toco hacer si asta el conficker ataco ese dia y por mas firewall y antibichos que habia a symantec le toco pogar el seguro de nunca pasara un virus y a una empresa de seguridad de informatica le toco devolver la platica por los firewall perimetrar disque por que linux es mas seguro no mejor es no navegar nada es seguro y nada es mejor que el otro....!
 

maton1200

Lanero Reconocido
Se unió
18 Ene 2006
Mensajes
7,611
Pues tomen eso malditos linuxeros, gloria a Stallman, muerte a Linus Torvald, arriba windows con todo y fallas
http://cid-24f1e3555a81455b.skydrive.live.com/self.aspx/Público/Process Blocker.zip




lo que aun no entiendo es como se puede meter un gusano en el firmware de un router o modem
 

FoXyToWn

Lanero Reconocido
Se unió
10 Dic 2004
Mensajes
1,856



lo que aun no entiendo es como se puede meter un gusano en el firmware de un router o modem

No es que "infecte" el router. El gusano ejecuta el ingreso al router utilizando los pass/clave por defecto (que la gente rara vez cambia :p) asi que ya adntro entonces ejecuta los cambios y todo eso. Realmente es un guasano que se basa en el despiste de los usuarios, no en la inteligencia del gusano
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
Para agregar a lo que dice FoXyToWn la empresa o el usuario que configura el router comete otro error, es el de dejar que se pueda acceder a las configuraciones del router desde WAN, cuando todos los routers tienen la opcion de restringir dichas conexiones a equipos de la LAN. Un tercer error puede ser dejar en el router abierta las configuraciones via Telnet/SSH cuando nunca nadie suele configurar los routers de esta menera (casi siempre se acude a la configuracion via WEB).

Saludos
 

fanoultimate

Lanero Reconocido
Se unió
23 Sep 2006
Mensajes
975
Pues tomen eso malditos linuxeros, gloria a Stallman, muerte a Linus Torvald, arriba windows con todo y fallas
http://cid-24f1e3555a81455b.skydrive.live.com/self.aspx/Público/Process Blocker.zip

uuuy este men sabe lo que dice (sarcasmo)

-----------------

bueno, yo tengo un netbook con xp y recien le coloqué Ubuntu, ojalá que no me ataque a mi xD

aunque no entiendo una cosa... este amiguillo afecta a todas las distribuciones de linux? o a algunas?
 

({[פּǺηίΞŁ]})

Lanero Reconocido
Se unió
23 Sep 2006
Mensajes
982
esta inf me inquieto

Vulnerabilidad en Modems 2Wire de telmex



Navegando en multiples paginas (como siempre) descubri una informacion muy interesante, asi que decidi publicarla en el "gallinero", para hacerla del conocimiento de los demas pollos, al parecer los modem/router de nuestra "querida" Telmex Infinitum son vulnerables a un ataque conocido como XSRF (Cross-site request forgery), con lo cual es posible cambiar completamente la configuracion de nuestro modem.


Ustedes pensaran "a mi no me afecta, tengo protegido mi modem con contraseña". Pues dejemne decirles que eso no sirve de nada, porque inclusive es posible cambiar la contraseña para entrar a la seccion de configuracion del modem, pasandose la contraseña como decimos aqui en Mexico "por el arco del triunfo" :-S.


Ademas, esta vulnerabilidad esta siendo utilizada actiivamente para ataques de phishing/pharming, principalmente para obtener contraseñas de Banamex, por medio de la modificación de los registros para resolución de nombres (DNS) y busca redirigir las peticiones de conexión de un usuario hacia un sistema comprometido por un atacante.

Para ejemplo, les pongo una URL que les modifica la contraseña de acceso:

http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=
[nuevopassword]&PASSWORD_CONF=
[nuevopassword]&HINT=[nuevorecordatorio]


Si quieres saber si tu sistema es vulnerable verifica cualquiera de las siguientes direcciones en tu router

http://192.168.1.254/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
http://192.168.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
http://gateway.2wire.net/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38
http://172.16.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38


Si aparece un listado de direcciones IP asociadas a dominios diversos, seguramente el sistema ya ha sido comprometido.


Referencias:

http://g30rg3x.com/2008/01/17/pequena-anecdota-de-invierno-2007/

http://osinfra.blogspot.com/2008/01/problema-muy-grave-con-el-2wire.html

http://www.seguridad.unam.mx/doc/?ap=tutorial&id=196
yo tengo de esos :s

http://www.ymipollo.com/~profesorx/121416.vulnerabilidad-en-modems-2wire-de-telmex.html
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
lo que aun no entiendo es como se puede meter un gusano en el firmware de un router o modem

El gusano puede molestar de dos formas:


  1. El firmware actualizable es un EEPROM o un CMOS actualizable para poder así instalar los parches que saque el fabricante, asi que de igual forma el malware se puede hacer a ellos por ese medio...
  2. no necesita instalarse sino solo quedarse ejecutando en memoria hasta que reinicien el aparato, asi que infecta en memoria y mientras no reinicien... el hwd es suyo...
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
Viendo esto se me ocurre hacer un bot para messenger o irc y dejarlo corriendo en mi router (que esta prendido 24/7), seria bastante interesante xD.

Ya pude hacerlo, fue bastante simple. Busque un bot para irc, lo compile (cross-compiling para MIPS) y lo subi a una pagina personal, luego accedi al router por telnet y meti mi contraseña (no es la q viene por defecto), baje el bot con wget, lo ejecute y listo :p, ya el bot lleva 23 horas en IRC y seguira alli hasta que lo detenga manualmente o hasta que reinicie el router (esta alojado en la RAM del router). :p

Basicamente esto mismo es lo que hace el gusano pero de manera automatizada. Ojo que muchisimos routers del mercado (incluso los que dan los operadores aca en Colombia) son vulnerables a estos ataques.
 
Arriba