Как не стать частью ботнета: советы по защите роутеров от специалистов по безопасности Infosec, Qrator Labs и «Р-Техно»

В августе 2021 года ботнет Mēris, созданный при помощи сетевого оборудования MikroTik, начал крупнейшую в истории интернета DDoS-атаку, рассказывал «Яндекс». Эксперты по сетевой безопасности считают, что частью ботнета может стать каждый, а его жертвой — сервер любой компании.

Dmitry Grigoriev | Flickr
Dmitry Grigoriev | Flickr

Что известно о ботнете Mēris и его предшественниках

8 сентября «Яндекс» рассказал, что его сервисы подверглись DDoS-атаке. Ботнет Mēris (с латышского «чума») атаковал серверы компании в течение месяца. Атака провалилась.

  • Ботнет — виртуальная сеть устройств, от компьютеров до IoT-приборов, к которым у хакеров есть удалённый доступ. Владельцы оборудования зачастую не подозревают, что оно стало частью ботнета.

Mēris насчитывает до 250 тысяч скомпрометированных устройств в разных странах мира. В его состав входят маршрутизаторы и роутеры марки MikroTik.

Мощность Mēris оценивается в 20 млн RPS (запросов в секунду). Ботнет, по данным «Яндекса», с августа атакует веб-серверы в Новой Зеландии, США и России. В компании назвали его «угрозой в масштабах страны».

Представители «Яндекса» также заявили, что атака никак не повлияла на работу сервисов, и данные пользователей не пострадали. Компания не раскрывала подробностей о возможных операторах ботнета и заказчиках DDoS-атаки. Неизвестно, обращалась ли она в полицию или ФСБ.

В тот же день владельцы ботнета попытались вывести из строя «Хабр».

Масштабные DDoS-атаки ботнетов случались и раньше.

  • 7 февраля 2000 года сеть Rivolta (с итальянского «месть») 15-летнего хакера из Канады Майкла Калсе «уронила» сайты Buy.com, Amazon, CNN, Dell, eBay, FIFA и Yahoo. Ботнет состоял, по разным данным, из домашних компьютеров и взломанных университетских серверов. Компании оценили ущерб в $1,2 млрд. В 2011 году стало известно, что Калсе начал карьеру эксперта по информационной безопасности.
  • В апреле 2015 года Интерпол уничтожил ботнет Simda, заразивший 770 тысяч компьютеров из 190 стран. С помощью уязвимостей в ПО от Oracle, Adobe и Microsoft хакеры добывали данные банковских карт и показывали пользователям всплывающие рекламные баннеры, на которых злоумышленники зарабатывали. Самые пострадавшие страны — Россия, США, Великобритания, Канада и Турция.
  • 17 октября 2016 года ботнет Mirai (с японского «будущее») приостановил работу DNS-провайдера Dyn. Услугами провайдера пользовались Netflix, Reddit, Twitter и другие компании. В составе Mirai насчитывалось более 11 млн устройств «интернета вещей». Исходный код ботнета опубликован на Github.

Почему маршрутизаторы могут стать частью ботнета и как проверить свои устройства

Оборудование MikroTik популярно в России и на постсоветском пространстве благодаря хорошей скорости передачи данных и невысокой цене, считает специалист по администрированию сетей, сертифицированный компанией Cisco, Михаил Гнедой.

По его словам, это оборудование также подходит для организации сетей в малых и средних компаниях. Устройства MikroTik относятся к классу полупрофессиональных, при этом они более функциональны, чем маршрутизаторы Linksys, и дешевле сложных решений от Cisco.

Проблемы с сетевым оборудованием возникают не только у владельцев Mikrotik, рассказал vc.ru практикующий специалист по тестированию информационных систем Алексей Рыбалко.

По его словам, сама возможность создания ботнетов возникает из-за человеческого фактора. Пользователи домашних роутеров не следят за безопасностью устройств, а администраторы компаний не проверяют свои сети.

Например, в январе 2021 года пользователь «Хабра» обнаружил узявимость служебной сети РЖД: благодаря слабым паролям в оборудовании MikroTik любой заинтересованный человек мог получить доступ к камерам видеонаблюдения, сервисам и документам компании.

Часто действует принцип «надо чтоб заработало в срок», поэтому по сути развёртывается а-ля «опытная эксплуатация» или «пилот», без балансировки, с открытием сразу всех портов, с дачей одной административной учётной записи с максимальными правами под все роли и задачи.

И это нормально — для быстрого пилотного внедрения. Но потом это уходит на «продуктив»: систему нагружают по-полной, а акценты инженеров, которые развёртывали инфраструктуру, смещаются в сторону решения других задач. А основа — она так и остаётся в таком виде, к её переработке могут не вернуться никогда. Пока не «клюнет».

Потом выясняется, что пароль на учётку админа или доступа к СУБД оставили 12345, порты открыты для сетевых сканеров, а консоль управления подписана самоподписанным сертификатом. Это только крупные ляпы, пентестер найдёт гораздо больше разных мест для проникновения.

Алексей Рыбалко, практикующий специалист по тестированию информационных систем

Ранее похожую мысль у себя в Telegram-канале высказывал бывший топ-менеджер «Яндекса» Григорий Бакунов.

Проблема в том, что каждый современный маршрутизатор представляет собой микрокомпьютер, рассказал vc.ru руководитель компании «Р-Техно» Роман Ромачев. RouterOS в устройствах MikroTik — это урезанный вариант Unix-подобной ОС.

Трое опрошенных vc.ru специалистов по сетевой и информационной безопасности соглашаются, что ситуация с роутерами MikroTik в целом сходна с известными проблемами «интернета вещей».

Никто не мешает запустить что-то на них и исполнять код.

Производительности хватит, при этом ботнетом будут заражаться именно пользовательское оборудование, как наименее защищённое.

представитель компании Infosec

При этом обнаружить нежелательную активность того или иного устройства MikroTik достаточно сложно: пользователь не заметит, что его роутером управляют извне, отмечают в Infosec.

Однако, по данным отчёта «Яндекса» и комментариям MikroTik, найти нежелательную активность в роутере всё же можно, если обратиться к его настройкам в мобильном приложении или в программе Winbox для настольных систем, замечает Гнедой.

Так, из отчёта следует, что на скомпрометированных устройствах открыты порты 2000 и 5678, а также установлено SOCKS-соединение с ботоводом.

Все специалисты по сетевой безопасности также рекомендуют следить за списками открытых портов в настройках маршрутизаторов. А подозрительные соединения отключать.

Кроме того, собеседники vc.ru советуют пользоваться встроенными в роутеры фаерволами: системами фильтрации входящих соединений.

Обнаружить свой маршрутизатор в ботнете также можно при помощи анализаторов трафика, например, Wireshark, TCPdump, NetworkMiner. Однако, по словам трёх специалистов по сетевой безопасности, пользователи и системные администраторы небольших компаний занимаются мониторингом активности оборудования нерегулярно.

10 сентября компания Qrator Labs, которая расследовала действия нового ботнета, представила сервис, для проверки роутеров MikroTik. «Лаборатория Касперского» выпускала похожее веб-приложение для борьбы с ботнетом Simda в 2015 году.

Виджет на сайте сервиса Radar от Qrator Labs определит, входит ли сетевое оборудование MikroTik в ботнет Mēris vc.ru
Виджет на сайте сервиса Radar от Qrator Labs определит, входит ли сетевое оборудование MikroTik в ботнет Mēris vc.ru

Как обезопасить роутер и устройства в домашней сети

Уязвимое место сетевого оборудования — прошивка, считают эксперты. Чаще всего атакующие находят в сети устройства со старыми версиями прошивок и эксплуатируют их известные уязвимости.

Так, Бакунов замечал, что устройства MikroTik не обновляются автоматически, и в результате на многих из них установлены уязвимые версии ПО. За обновлениями должны следить сами пользователи или администраторы корпоративных сетей, но, судя по всему, не все этим занимаются, посетовал он.

С ним в целом согласен Роман Ромачев: он отметил, что пользователи должны следить за тем, чтобы на сетевом оборудовании были установлены последние версии прошивок. «Все остальные способы защиты неэффективны», — заявил vc.ru представитель Infosec.

При этом Ромачев не доверяет автоматическим системам обновления: он советует самостоятельно скачивать новые версии прошивок и устанавливать их с флеш-накопителей.

Однако в ботнет Mēris входят устройства с разными версиями RouterOS, замечает Михаил Гнедой, ссылаясь на отчёт «Яндекса». Эту же особенность ботнета увидели пользователи форума MikroTik.

Версии прошивок MikroTik, входящих в ботнет Mēris "Яндекс" / Qrator Labs
Версии прошивок MikroTik, входящих в ботнет Mēris "Яндекс" / Qrator Labs

Гнедой добавляет, что SOCKS-соединение с ботнетом могло сохраниться в маршрутизаторах MikroTik при переносе конфигурационных файлов (в них содержатся настройки маршрутизаторов) в сервисе MikroTik Cloud. Пользователи могли копировать настройки из «облака» компании в свои новые маршрутизаторы: так мог образоаться ботнет.

  • Сервис MikroTik Cloud позволяет переносить настройки между разными устройствами. Например, при покупке нового маршрутизатора владелец MikroTik может загрузить в него настройки своего подключения к интернету и параметры Wi-Fi-сети.

При этом не все конфигурации совместимы между собой, добавляет Гнедой. Например, при настройке его собственной домашней Wi-Fi-сети из двух ретрансляторов и управляющего маршрутизатора MikroTik при клонировании конфигураций возникали неполадки.

Еще одной точкой входа для хакера может стать discovery-сервис (MNDP), как правило включенный на многих устройствах по умолчанию для упрощения настройки, говорит Алексей Рыбалко.

В феврале 2020 года сразу пять таких уязвимостей устранила компания Cisco: discovery-протокол CDP давал злоумышленникам удалённый доступ к IP-телефонам и маршрутизаторам, но только из локальной сети.

«Мы работаем с MikroTik над возможным решением проблемы», — рассказали vc.ru в Qrator Labs, не уточняя, о какой именно проблеме идёт речь и не раскрывая подробностей сотрудничества.

Что рекомендуют эксперты, чтобы защититься от ботнетов

  • К маршрутизатору и IoT-устройствам установить надёжные пароли и время от времени менять их.
  • Отключить discovery-сервисы, которые созданы для упрощённой настройки роутеров: они передают в интернет информацию о версии операционной системы и другие данные. Во многих устройствах (например, MikroTik, Cisco) эти сервисы активны по умолчанию.
  • Включить встроенный в маршрутизатор фаервол и следить за тем, чтобы свободный доступ к устройству из интернета был исключён.
  • Обновить прошивку сетевого устройства до последней версии, а если производитель давно не выпускает обновлений, купить новое.
  • Не использовать файлы конфигурации, скачанные из интернета, а также настройки со старых устройств, если они совместимы с новыми.
  • Проводить регулярные проверки сети компании с помощью систем анализа трафика. Даже самое дорогое и надёжное оборудование при отсутствии администрирования и контроля не может гарантировать защиты данных.
1515
5 комментариев

млять, русским языком напишите 1,2,3 что делать, какие настрой произвести на микротике тупому юзеру 

3

А зачем тупому юзеру микротик?
Или сисадмин в отпуске?

поставить последнюю стейбл прошивку, закрыть неиспользуемы порты. 
чекнуть есть ли твой девайс в базе ботнета на https://radar.qrator.net/

3