RE FORUM
[REVERSE ENGINEERING] => General Discussion => Topic started by: llAmElliK on May 20, 2016, 11:23:59 AM
-
Asi jste cetli o viru co napadl nekolik tisic jednotek UBNT po svete.
Mam jeho knihovnu - koukne se nekdo do nej a napise mi analyzu?
Diky
EDIT - mam zdrojak na jinem PC - dodam.
-
http://www.root.cz/clanky/motherfucker-virus-v-bezdratovych-zarizenich-ubiquiti-airos/
-
jojo to vim a osobne jsem se s tim setkal - zajima mne sofistikovanost , protoze trebas skenovani adres je je dost tristni :) podle regexp.
Zajima mne i kam vsude si to saha na net atd. Zda to meni porty na zarizeni, jestli se tomu da neco podstrcit misto knihovny curl (treba sebedstruckni sript) apod.
Zdrojak viru v priloze.
-
naozaj netusim o com je rec, ale pre srandu si idem pozriet ten src.. ale, ako to povedat, neviem kde je chyba, ale tam nic nie je v tej prilohe. ???
-
naozaj netusim o com je rec, ale pre srandu si idem pozriet ten src.. ale, ako to povedat, neviem kde je chyba, ale tam nic nie je v tej prilohe. ???
Hmm - protoze jsem dal spatny adresar - az u toho budu napravim :) a doufam ze na to pak mrknes :)
-
Tak opraveno - v prvnim prispevku nova snad funkcni priloha. Pokud nepujde rozbalit prejmenujte na .tar - (tar nam to tady nevezme)
diky
-
Cus,
to porad nikdo nic? Obcas mi to neco zahubi a krome "overenych informaci" nevime nic :)
-
ak to je na mna, tak musim povedat, ze nic. precitat som si to precital, ale nemam sajn o co tam ide (co ale nie je ziadne prekvapenie).
-
ak to je na mna, tak musim povedat, ze nic. precitat som si to precital, ale nemam sajn o co tam ide (co ale nie je ziadne prekvapenie).
A zrovna do tebe jsem vkladal nejvetsi nadeje :) tak ted, uz jen Z!L0G80. .
-
jak znela otazka ? :D
-
Co to dela - kam to vola - jak to jednoduse ojebat atd. :)
Takovy cme..
-
Ono dohromady ten kód moc zajímavý není. Prostě takový klasický worm. Prakticky všechno si tahá s sebou ve formě TAR archivu. Vyjímkou je jen aplikace curl, kterou stahuje z webu (http://downloads.openwrt.org/kamikaze/8.09.1/adm5120/packages/curl_7.17.1-1_mips.ipk usr/bin/curl). Ten je až moc velký na to, aby ho dokázal perzistentně uložit, takže si ho znovu a znovu stahuje po každém restartu. Zajímavé je, že se na každém infikovaném stroji (ano routeru :D) ukládá seznam potenciálně náchylných nebo infikovaných IP adres, které se pak zpětně kontrolují, zda jsou skutečně správně infikovány. Pokud ne, proběhne infekce znovu. Takže ten, kdo se koukne do /tmp/inf na napadeném stroji, získá seznam všech IP adres, které byly napadeny z tohoto infikovaného zařízení.
Aktuálně je detekce izi. Stačí kouknout, jestli existuje v /etc/passwd account mother, který si tenhle kód vytváří. Dojebat se dá tak, že zakážeš komunikaci mimo vnitřní subnet sítě. Tím pádem nemůže přepsat SSH klíče, ani modifikovat /etc/passwd tak, že do něj přidá svůj 'root' account.
Pokud se na tohle podívám ze všech stran, jedná se jednoznačně o demonstrativní kód. V reálu by s ním bylo možné napáchat daleko více škody. Klasika dnešní doby je párřádkový kód pro DoS útoky, MiTM attack, podvržení obsahu, etc etc etc...
-
Díkes za snahu :)
Ten seznam IP kam to vlezlo jsem netusil..