Tweet
Introdução
Esta é a descrição de um ataque que ocorre no Brasil desde 2011, usando 1 vulnerabilidade de firmware, 2 scripts maliciosos e 40 servidores maliciosos de DNS, que afetaram 6 fabricantes de dispositivos de rede, resultando em milhões de usuários de internet no Brasil sendo vítimas de um ataque massivo, silencioso e contínuo contra modems ADLS.
Neste artigo iremos mostrar como cibercriminosos estão explorando uma vulnerabilidade que afeta milhares de modems ADSL desatualizados e em uso no país. Essa falha permitiu que um ataque alterasse os dispositivos de rede pertencentes a milhões de usuários domésticos e corporativos, distribuindo malware e criando redirecionamentos maliciosos por um longo período. O cenário é composto ainda pela negligência dos provedores de internet, fabricantes de hardware e usuários inocentes e desconhecedores do problema.
Se você achou que a limpeza de 500 mil computadores infectados com o malware DNS Changer foi um grande desafio, imagine o que é lidar com 4.5 milhões de modems ADSL comprometidos nesse ataque – todos localizados em terras tupiniquins.
Uma vulnerabilidade de firmware
Geralmente dispositivos de rede como modems e roteadores são esquecidos – uma vez instalados e configurados, a maioria dos usuários e empresas não se preocupam em aplicar atualizações de firmware disponibilizadas por alguns fabricantes. Mesmo a falha mais simples nesses dispositivos pode afetar milhares de usuários, que podem ser silenciosamente atacados e levados a instalarem malware em seus computadores, ou até mesmo visitarem páginas de phishing. Como já foi publicado pela analista Marta Janus, modems ADSL são constantemente atacados por diferentes tipos de malware, geralmente baseados em Linux, ou através de ataques explorando falhas CSRF (Cross Site Request Forgery), falhas no UPnP ou SNMP, configurações incorretas ou até mesmo um ataque mais complexo de drive-by-pharming.
Surpreendemente, não apenas esse problema é ignorado pelos usuários, mas também a comunidade segurança presta pouca atenção a isso. É muito comum encontrarmos recomendações sobre a importância de se instalar todas as atualizações no seu sistema operacional, mas poucas pessoas falam sobre a necessidade de atualizar o firmware de um modem ADSL.
Sem muito barulho, uma vulnerabilidade demonstrando uma falha em um modelo específico de modem foi publicada em Março de 2011 no site Exploit.db. A falha permite um acesso remoto ao modem ADSL. Ninguém sabe exatamente quando os cibercriminosos brasileiros começaram a usar essa falha em ataques remotos. A falha permite um Cross Site Request Forgery (CSRF) no painel de administração do modem ADSL, capturando a senha do dispositivo e permitindo a um cibercriminoso fazer mudanças maliciosas no dispositivo, geralmente alterando os servidores DNS.
Exploit publicado em Março de 2011 no site exploit-db.com
Mesmo que você tenha configurado uma boa senha no modem ADSL, a falha permite ao cibercriminoso ter acesso ao painél de controle, capturar a senha, logar no dispositivo e fazer as alterações.
Painel de administração de um modem vulnerável, acessado remotamente
Parece que o problema não está relacionado a um modelo ou fabricante específico, mas sim está relacionado ao driver do chipset usado nos equipamentos e comprados pelos fabricantes. Todos os dispositivos afetados tem um comum um chipset da Broadcom, usado por diversos fabricantes, incluindo modems aprovados pela ANATEL, vendidos por todo o país. Interessante notar que nem todos os dispositivos usando chip da Broadcom são afetados pelo problema, não há dados precisos sobre versões e equipamentos afetados. Isso depende de informação dos fabricantes.
Painel de Administração de um modem comprometido, observe o DNS malicioso configurado
Dois scripts maliciosos
O ataque é muito simles. Criminosos escaneiam a internet em busca de modems expostos na rede. O atacante então usa dois scripts em bash que serão executados em um servidor dedicado comprado exclusivamente para esse propósito. Uma larga extensão de endereços IPs é testada e escaneada pelo script. Sempre que um modem é encontrado, o exploit é então executado contra a alvo.
Script usado no ataque
Depois de acessado, um outro script chamado “roda.sh” irá executar e alterar o modem. A vulnerabilidade revela a senha configurada no dispositivo. Capturando-a, o script acessa as configurações, muda os servidores DNS e muda a senha do dispositivo, impedindo que o usuário/dono do modem venha a acessá-lo depois.
Script usado para alterar o servidor DNS e a senha do dispositivo
Entre as senhas configuradas nos modems atacados estão "dn5ch4ng3", "ch4ng3dn5" e outras variantes.
Para automatizar o ataque, os criminosos determinaram uma larga extensão de números IPs para serem verificados automaticamente pelos scripts:
Parte de uma lista de IPs para serem verificados pelo script de ataque
6 fabricantes afetados
Temos registrado seis diferentes fabricantes de modems afetados pelos ataques. Cinco deles são amplamente conhecidos e vendidos no Brasil, alguns deles sendo lideres de mercado – todos estão cientes do problema.
A situação é complicada pelo fato de que, mesmo sem a vulnerabilidade, esses modems são comercializados e usados com senhas padrão que são conhecidas publicamente e geralmente os usuários não as muda. Outros modelos são configurados com contas de acesso remoto para acesso dos serviços de suporte dos provedores de internet, e estas credenciais de acesso são conhecidas dos criminosos.
Além disso, alguns fabricantes são negligentes para resolver o problema depois de avisados. Isso deixa seus usuários expostos a ataques, visto que alguns fabricantes são lentos em disponibilizar uma atualização de firmware que pode resolver o problema.
A ANATEL, Agencia Nacional de Telecomunicações é a autoridade no país que testa dispositivos de rede antes deles serem aprovados, vendidos e usados pelos provedores de internet. Porém, esses testes se limitam apenas a verificar funcionalidades básicas do dispositivo, não verificando problemas de segurança. Isso permite que provedores de internet ofereçam aos seus clientes modems antigos e vulneráveis.
Ataques ocorreram nos principais provedores de internet brasileiros. A média de clientes de cada um é de 3 a 4 milhões. Sabemos de pequenos provedores em que 50% da base de clientes foi afetada.
Maiores provedores de internet no Brasil, de acordo como Teleco.com.br
A negligência dos fabricantes, a negligência dos provedores de internet e a ignorância das agências governamentais criaram uma “tempestade perfeita”, permitindo aos cibercriminosos atacar livremente.
40 servidores de DNS maliciosos
Para tornar o ataque operativo, os cibercriminosos brasileiros registraram 40 servidores de DNS maliciosos em diferentes serviços de hospedagem. Quase todos localizados fora do Brasil.
Lista com 35 servidores de DNS maliciosos – cibercriminosos registraram 40 para fazer os ataques
Sabemos de ataques em que somente o servidor de DNS primário foi alterado, mantendo no servidor secundário o DNS do provedor de internet ou mesmo o DNS público do Google. Dessa forma o criminoso poderia ativar o DNS malicioso por apenas alguns minutos no dia, em tempos específicos.
Dessa forma o atacante poderia controlar todo o tráfego e manter a discrição, mesmo se tratando de um ataque em massa, e assim não levantar suspeitas.
Depois de configurado no modem, o DNS malicioso passa a redirecionar a vítima para servidores BIND com input type “SOA”e “A”, onde diversas páginas de phishing de bancos brasileiros estavam hospedadas. Outros cibercriminosos se aproveitaram para redirecionar as vítimas para instalar malware em seu computador, através do DNS malicioso.
4.5 milhões de modems comprometidos
Em Março passado o CERT.br divulgou que o ataque comprometeu cerca de 4.5 milhões de modems. Essa situação chamou a atenção de Bancos, provedores de internet e fabricantes de hardware a pensar numa solução para o problema.
Sabemos que não basta reportar os servidores DNS maliciosos para que sejam retirados do ar – com milhares de dispositivos comprometidos, isso faria com que milhões de usuários perdessem a conexão, inundando o serviço de suporte dos provedores de internet.
Alguns fabricantes então começaram a providenciar uma atualização de firmware que corrigia o problema, especialmente em modelos mais populares. Usuários começaram a reclamar do problema com os provedores de internet pedindo por solução, enquanto os bancos começaram a denunciar e derrubar os DNSs maliciosos. Apesar de todo o esforço, em Março de 2012 o CERT.br divulgou que um total de 300.000 modems ainda estavam comprometidos.
Nesse ataque o principal objetivo dos cibercriminosos, como são quase todos no Brasil era de roubar credenciais bancárias das vítimas. Eles não desistem até consegui-las, direcionando as vítimas para sites falsos de banco ou páginas onde era solicitada a instalação de um “plugin”, geralmente em sites populares como Google, Facebook, Orkut.
A Trend Micro publicou recentemente um blog onde eles descrevem exatamente esse mesmo ataque, em que URLs de sites conhecidos pareciam distribuir arquivos executáveis não existentes, mas eles admitem que uma peça estava falando, que é exatamente essa: o modem ADSL comprometido, configurado com um DNS malicioso era o responsável pelo redirecionamento das vítimas para páginas que aparentemente possuem URLs legítimas, oferecendo a instalação de trojans, como essas:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Quando navegando em sites populares, como o Facebook por exemplo, o usuário vê o seguinte alerta:
“Instale agora mesmo o novo aplicativo do Facebook”
Em alguns ataques recentes os criminosos usaram exploits em Java para infectar as vítimas automaticamente, em ataques de drive-by-download:
Google ou Orkut pedindo para executar um applet em Java? Não, é o DNS malicioso configurado no modem
Claro que a disseminação desses exploits ficou limitada ao Brasil. Como exemplo podemos citar o Exploit.Java.CVE-2010-4452.a, usado nesses ataques desde Maio de 2011. No primeiro dia do ataque registramos mais de 800 usuários infectados:
Infectados com o Exploit.Java.CVE-2010-4452.a: todas as vítimas localizadas no Brasil
Um dos servidores de DNSs usados no ataque foi derrubado e acessado por autoridades que estavam investigando o problema. Nele foi encontrado vários logs que exibiam o número das vítimas. Um dos logs mostrava mais de 14 mil vítimas:
Conclusão
O que os usuários e vítimas desse ataque podem fazer para se proteger? Como foi sugerida por nossa analista Marta Janus em seu artigo, recomendamos o mesmo: usuários devem configurar senhas fortes para acesso ao modem, checar as configurações de segurança e atualizar o firmware e todo software de segurança importante do computador - no momento estas são as únicas coisas que realmente o usuário pode fazer. O restante está nas mãos dos fabricantes, os únicos que podem mudar o design desses dispositivos e torná-los mais seguros.
A Kaspersky detecta os scripts maliciosos desse ataque como HackTool.Shell.ChDNS.a
Créditos Fabio Assolini
OBs: Espero que gostem do post e que consiga tira algo de proveitoso, grande abraço a todos.
Esta é a descrição de um ataque que ocorre no Brasil desde 2011, usando 1 vulnerabilidade de firmware, 2 scripts maliciosos e 40 servidores maliciosos de DNS, que afetaram 6 fabricantes de dispositivos de rede, resultando em milhões de usuários de internet no Brasil sendo vítimas de um ataque massivo, silencioso e contínuo contra modems ADLS.
Neste artigo iremos mostrar como cibercriminosos estão explorando uma vulnerabilidade que afeta milhares de modems ADSL desatualizados e em uso no país. Essa falha permitiu que um ataque alterasse os dispositivos de rede pertencentes a milhões de usuários domésticos e corporativos, distribuindo malware e criando redirecionamentos maliciosos por um longo período. O cenário é composto ainda pela negligência dos provedores de internet, fabricantes de hardware e usuários inocentes e desconhecedores do problema.
Se você achou que a limpeza de 500 mil computadores infectados com o malware DNS Changer foi um grande desafio, imagine o que é lidar com 4.5 milhões de modems ADSL comprometidos nesse ataque – todos localizados em terras tupiniquins.
Uma vulnerabilidade de firmware
Geralmente dispositivos de rede como modems e roteadores são esquecidos – uma vez instalados e configurados, a maioria dos usuários e empresas não se preocupam em aplicar atualizações de firmware disponibilizadas por alguns fabricantes. Mesmo a falha mais simples nesses dispositivos pode afetar milhares de usuários, que podem ser silenciosamente atacados e levados a instalarem malware em seus computadores, ou até mesmo visitarem páginas de phishing. Como já foi publicado pela analista Marta Janus, modems ADSL são constantemente atacados por diferentes tipos de malware, geralmente baseados em Linux, ou através de ataques explorando falhas CSRF (Cross Site Request Forgery), falhas no UPnP ou SNMP, configurações incorretas ou até mesmo um ataque mais complexo de drive-by-pharming.
Surpreendemente, não apenas esse problema é ignorado pelos usuários, mas também a comunidade segurança presta pouca atenção a isso. É muito comum encontrarmos recomendações sobre a importância de se instalar todas as atualizações no seu sistema operacional, mas poucas pessoas falam sobre a necessidade de atualizar o firmware de um modem ADSL.
Sem muito barulho, uma vulnerabilidade demonstrando uma falha em um modelo específico de modem foi publicada em Março de 2011 no site Exploit.db. A falha permite um acesso remoto ao modem ADSL. Ninguém sabe exatamente quando os cibercriminosos brasileiros começaram a usar essa falha em ataques remotos. A falha permite um Cross Site Request Forgery (CSRF) no painel de administração do modem ADSL, capturando a senha do dispositivo e permitindo a um cibercriminoso fazer mudanças maliciosas no dispositivo, geralmente alterando os servidores DNS.
Exploit publicado em Março de 2011 no site exploit-db.com
Mesmo que você tenha configurado uma boa senha no modem ADSL, a falha permite ao cibercriminoso ter acesso ao painél de controle, capturar a senha, logar no dispositivo e fazer as alterações.
Painel de administração de um modem vulnerável, acessado remotamente
Parece que o problema não está relacionado a um modelo ou fabricante específico, mas sim está relacionado ao driver do chipset usado nos equipamentos e comprados pelos fabricantes. Todos os dispositivos afetados tem um comum um chipset da Broadcom, usado por diversos fabricantes, incluindo modems aprovados pela ANATEL, vendidos por todo o país. Interessante notar que nem todos os dispositivos usando chip da Broadcom são afetados pelo problema, não há dados precisos sobre versões e equipamentos afetados. Isso depende de informação dos fabricantes.
Painel de Administração de um modem comprometido, observe o DNS malicioso configurado
Dois scripts maliciosos
O ataque é muito simles. Criminosos escaneiam a internet em busca de modems expostos na rede. O atacante então usa dois scripts em bash que serão executados em um servidor dedicado comprado exclusivamente para esse propósito. Uma larga extensão de endereços IPs é testada e escaneada pelo script. Sempre que um modem é encontrado, o exploit é então executado contra a alvo.
Script usado no ataque
Depois de acessado, um outro script chamado “roda.sh” irá executar e alterar o modem. A vulnerabilidade revela a senha configurada no dispositivo. Capturando-a, o script acessa as configurações, muda os servidores DNS e muda a senha do dispositivo, impedindo que o usuário/dono do modem venha a acessá-lo depois.
Script usado para alterar o servidor DNS e a senha do dispositivo
Entre as senhas configuradas nos modems atacados estão "dn5ch4ng3", "ch4ng3dn5" e outras variantes.
Para automatizar o ataque, os criminosos determinaram uma larga extensão de números IPs para serem verificados automaticamente pelos scripts:
Parte de uma lista de IPs para serem verificados pelo script de ataque
6 fabricantes afetados
Temos registrado seis diferentes fabricantes de modems afetados pelos ataques. Cinco deles são amplamente conhecidos e vendidos no Brasil, alguns deles sendo lideres de mercado – todos estão cientes do problema.
A situação é complicada pelo fato de que, mesmo sem a vulnerabilidade, esses modems são comercializados e usados com senhas padrão que são conhecidas publicamente e geralmente os usuários não as muda. Outros modelos são configurados com contas de acesso remoto para acesso dos serviços de suporte dos provedores de internet, e estas credenciais de acesso são conhecidas dos criminosos.
Além disso, alguns fabricantes são negligentes para resolver o problema depois de avisados. Isso deixa seus usuários expostos a ataques, visto que alguns fabricantes são lentos em disponibilizar uma atualização de firmware que pode resolver o problema.
A ANATEL, Agencia Nacional de Telecomunicações é a autoridade no país que testa dispositivos de rede antes deles serem aprovados, vendidos e usados pelos provedores de internet. Porém, esses testes se limitam apenas a verificar funcionalidades básicas do dispositivo, não verificando problemas de segurança. Isso permite que provedores de internet ofereçam aos seus clientes modems antigos e vulneráveis.
Ataques ocorreram nos principais provedores de internet brasileiros. A média de clientes de cada um é de 3 a 4 milhões. Sabemos de pequenos provedores em que 50% da base de clientes foi afetada.
Maiores provedores de internet no Brasil, de acordo como Teleco.com.br
A negligência dos fabricantes, a negligência dos provedores de internet e a ignorância das agências governamentais criaram uma “tempestade perfeita”, permitindo aos cibercriminosos atacar livremente.
40 servidores de DNS maliciosos
Para tornar o ataque operativo, os cibercriminosos brasileiros registraram 40 servidores de DNS maliciosos em diferentes serviços de hospedagem. Quase todos localizados fora do Brasil.
Lista com 35 servidores de DNS maliciosos – cibercriminosos registraram 40 para fazer os ataques
Sabemos de ataques em que somente o servidor de DNS primário foi alterado, mantendo no servidor secundário o DNS do provedor de internet ou mesmo o DNS público do Google. Dessa forma o criminoso poderia ativar o DNS malicioso por apenas alguns minutos no dia, em tempos específicos.
Dessa forma o atacante poderia controlar todo o tráfego e manter a discrição, mesmo se tratando de um ataque em massa, e assim não levantar suspeitas.
Depois de configurado no modem, o DNS malicioso passa a redirecionar a vítima para servidores BIND com input type “SOA”e “A”, onde diversas páginas de phishing de bancos brasileiros estavam hospedadas. Outros cibercriminosos se aproveitaram para redirecionar as vítimas para instalar malware em seu computador, através do DNS malicioso.
4.5 milhões de modems comprometidos
Em Março passado o CERT.br divulgou que o ataque comprometeu cerca de 4.5 milhões de modems. Essa situação chamou a atenção de Bancos, provedores de internet e fabricantes de hardware a pensar numa solução para o problema.
Sabemos que não basta reportar os servidores DNS maliciosos para que sejam retirados do ar – com milhares de dispositivos comprometidos, isso faria com que milhões de usuários perdessem a conexão, inundando o serviço de suporte dos provedores de internet.
Alguns fabricantes então começaram a providenciar uma atualização de firmware que corrigia o problema, especialmente em modelos mais populares. Usuários começaram a reclamar do problema com os provedores de internet pedindo por solução, enquanto os bancos começaram a denunciar e derrubar os DNSs maliciosos. Apesar de todo o esforço, em Março de 2012 o CERT.br divulgou que um total de 300.000 modems ainda estavam comprometidos.
Nesse ataque o principal objetivo dos cibercriminosos, como são quase todos no Brasil era de roubar credenciais bancárias das vítimas. Eles não desistem até consegui-las, direcionando as vítimas para sites falsos de banco ou páginas onde era solicitada a instalação de um “plugin”, geralmente em sites populares como Google, Facebook, Orkut.
A Trend Micro publicou recentemente um blog onde eles descrevem exatamente esse mesmo ataque, em que URLs de sites conhecidos pareciam distribuir arquivos executáveis não existentes, mas eles admitem que uma peça estava falando, que é exatamente essa: o modem ADSL comprometido, configurado com um DNS malicioso era o responsável pelo redirecionamento das vítimas para páginas que aparentemente possuem URLs legítimas, oferecendo a instalação de trojans, como essas:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Quando navegando em sites populares, como o Facebook por exemplo, o usuário vê o seguinte alerta:
“Instale agora mesmo o novo aplicativo do Facebook”
Em alguns ataques recentes os criminosos usaram exploits em Java para infectar as vítimas automaticamente, em ataques de drive-by-download:
Google ou Orkut pedindo para executar um applet em Java? Não, é o DNS malicioso configurado no modem
Claro que a disseminação desses exploits ficou limitada ao Brasil. Como exemplo podemos citar o Exploit.Java.CVE-2010-4452.a, usado nesses ataques desde Maio de 2011. No primeiro dia do ataque registramos mais de 800 usuários infectados:
Infectados com o Exploit.Java.CVE-2010-4452.a: todas as vítimas localizadas no Brasil
Um dos servidores de DNSs usados no ataque foi derrubado e acessado por autoridades que estavam investigando o problema. Nele foi encontrado vários logs que exibiam o número das vítimas. Um dos logs mostrava mais de 14 mil vítimas:
Conclusão
O que os usuários e vítimas desse ataque podem fazer para se proteger? Como foi sugerida por nossa analista Marta Janus em seu artigo, recomendamos o mesmo: usuários devem configurar senhas fortes para acesso ao modem, checar as configurações de segurança e atualizar o firmware e todo software de segurança importante do computador - no momento estas são as únicas coisas que realmente o usuário pode fazer. O restante está nas mãos dos fabricantes, os únicos que podem mudar o design desses dispositivos e torná-los mais seguros.
A Kaspersky detecta os scripts maliciosos desse ataque como HackTool.Shell.ChDNS.a
Créditos Fabio Assolini
OBs: Espero que gostem do post e que consiga tira algo de proveitoso, grande abraço a todos.
Comment