Рубрика развивается при поддержке
Advertisement
Техника
Илья Шевелев

Как не стать частью ботнета: советы по защите роутеров от специалистов по безопасности Infosec, Qrator Labs и «Р-Техно» Статьи редакции

В августе 2021 года ботнет Mēris, созданный при помощи сетевого оборудования MikroTik, начал крупнейшую в истории интернета DDoS-атаку, рассказывал «Яндекс». Эксперты по сетевой безопасности считают, что частью ботнета может стать каждый, а его жертвой — сервер любой компании.

Dmitry Grigoriev | Flickr

Что известно о ботнете Mēris и его предшественниках

8 сентября «Яндекс» рассказал, что его сервисы подверглись DDoS-атаке. Ботнет Mēris (с латышского «чума») атаковал серверы компании в течение месяца. Атака провалилась.

  • Ботнет — виртуальная сеть устройств, от компьютеров до IoT-приборов, к которым у хакеров есть удалённый доступ. Владельцы оборудования зачастую не подозревают, что оно стало частью ботнета.

Mēris насчитывает до 250 тысяч скомпрометированных устройств в разных странах мира. В его состав входят маршрутизаторы и роутеры марки MikroTik.

Мощность Mēris оценивается в 20 млн RPS (запросов в секунду). Ботнет, по данным «Яндекса», с августа атакует веб-серверы в Новой Зеландии, США и России. В компании назвали его «угрозой в масштабах страны».

Представители «Яндекса» также заявили, что атака никак не повлияла на работу сервисов, и данные пользователей не пострадали. Компания не раскрывала подробностей о возможных операторах ботнета и заказчиках DDoS-атаки. Неизвестно, обращалась ли она в полицию или ФСБ.

В тот же день владельцы ботнета попытались вывести из строя «Хабр».

Масштабные DDoS-атаки ботнетов случались и раньше.

  • 7 февраля 2000 года сеть Rivolta (с итальянского «месть») 15-летнего хакера из Канады Майкла Калсе «уронила» сайты Buy.com, Amazon, CNN, Dell, eBay, FIFA и Yahoo. Ботнет состоял, по разным данным, из домашних компьютеров и взломанных университетских серверов. Компании оценили ущерб в $1,2 млрд. В 2011 году стало известно, что Калсе начал карьеру эксперта по информационной безопасности.
  • В апреле 2015 года Интерпол уничтожил ботнет Simda, заразивший 770 тысяч компьютеров из 190 стран. С помощью уязвимостей в ПО от Oracle, Adobe и Microsoft хакеры добывали данные банковских карт и показывали пользователям всплывающие рекламные баннеры, на которых злоумышленники зарабатывали. Самые пострадавшие страны — Россия, США, Великобритания, Канада и Турция.
  • 17 октября 2016 года ботнет Mirai (с японского «будущее») приостановил работу DNS-провайдера Dyn. Услугами провайдера пользовались Netflix, Reddit, Twitter и другие компании. В составе Mirai насчитывалось более 11 млн устройств «интернета вещей». Исходный код ботнета опубликован на Github.

Почему маршрутизаторы могут стать частью ботнета и как проверить свои устройства

Оборудование MikroTik популярно в России и на постсоветском пространстве благодаря хорошей скорости передачи данных и невысокой цене, считает специалист по администрированию сетей, сертифицированный компанией Cisco, Михаил Гнедой.

По его словам, это оборудование также подходит для организации сетей в малых и средних компаниях. Устройства MikroTik относятся к классу полупрофессиональных, при этом они более функциональны, чем маршрутизаторы Linksys, и дешевле сложных решений от Cisco.

Проблемы с сетевым оборудованием возникают не только у владельцев Mikrotik, рассказал vc.ru практикующий специалист по тестированию информационных систем Алексей Рыбалко.

По его словам, сама возможность создания ботнетов возникает из-за человеческого фактора. Пользователи домашних роутеров не следят за безопасностью устройств, а администраторы компаний не проверяют свои сети.

Например, в январе 2021 года пользователь «Хабра» обнаружил узявимость служебной сети РЖД: благодаря слабым паролям в оборудовании MikroTik любой заинтересованный человек мог получить доступ к камерам видеонаблюдения, сервисам и документам компании.

Часто действует принцип «надо чтоб заработало в срок», поэтому по сути развёртывается а-ля «опытная эксплуатация» или «пилот», без балансировки, с открытием сразу всех портов, с дачей одной административной учётной записи с максимальными правами под все роли и задачи.

И это нормально — для быстрого пилотного внедрения. Но потом это уходит на «продуктив»: систему нагружают по-полной, а акценты инженеров, которые развёртывали инфраструктуру, смещаются в сторону решения других задач. А основа — она так и остаётся в таком виде, к её переработке могут не вернуться никогда. Пока не «клюнет».

Потом выясняется, что пароль на учётку админа или доступа к СУБД оставили 12345, порты открыты для сетевых сканеров, а консоль управления подписана самоподписанным сертификатом. Это только крупные ляпы, пентестер найдёт гораздо больше разных мест для проникновения.

Алексей Рыбалко
практикующий специалист по тестированию информационных систем

Ранее похожую мысль у себя в Telegram-канале высказывал бывший топ-менеджер «Яндекса» Григорий Бакунов.

Проблема в том, что каждый современный маршрутизатор представляет собой микрокомпьютер, рассказал vc.ru руководитель компании «Р-Техно» Роман Ромачев. RouterOS в устройствах MikroTik — это урезанный вариант Unix-подобной ОС.

Трое опрошенных vc.ru специалистов по сетевой и информационной безопасности соглашаются, что ситуация с роутерами MikroTik в целом сходна с известными проблемами «интернета вещей».

Никто не мешает запустить что-то на них и исполнять код.

Производительности хватит, при этом ботнетом будут заражаться именно пользовательское оборудование, как наименее защищённое.

представитель компании Infosec

При этом обнаружить нежелательную активность того или иного устройства MikroTik достаточно сложно: пользователь не заметит, что его роутером управляют извне, отмечают в Infosec.

Однако, по данным отчёта «Яндекса» и комментариям MikroTik, найти нежелательную активность в роутере всё же можно, если обратиться к его настройкам в мобильном приложении или в программе Winbox для настольных систем, замечает Гнедой.

Так, из отчёта следует, что на скомпрометированных устройствах открыты порты 2000 и 5678, а также установлено SOCKS-соединение с ботоводом.

Все специалисты по сетевой безопасности также рекомендуют следить за списками открытых портов в настройках маршрутизаторов. А подозрительные соединения отключать.

Кроме того, собеседники vc.ru советуют пользоваться встроенными в роутеры фаерволами: системами фильтрации входящих соединений.

Обнаружить свой маршрутизатор в ботнете также можно при помощи анализаторов трафика, например, Wireshark, TCPdump, NetworkMiner. Однако, по словам трёх специалистов по сетевой безопасности, пользователи и системные администраторы небольших компаний занимаются мониторингом активности оборудования нерегулярно.

10 сентября компания Qrator Labs, которая расследовала действия нового ботнета, представила сервис, для проверки роутеров MikroTik. «Лаборатория Касперского» выпускала похожее веб-приложение для борьбы с ботнетом Simda в 2015 году.

Виджет на сайте сервиса Radar от Qrator Labs определит, входит ли сетевое оборудование MikroTik в ботнет Mēris vc.ru

Как обезопасить роутер и устройства в домашней сети

Уязвимое место сетевого оборудования — прошивка, считают эксперты. Чаще всего атакующие находят в сети устройства со старыми версиями прошивок и эксплуатируют их известные уязвимости.

Так, Бакунов замечал, что устройства MikroTik не обновляются автоматически, и в результате на многих из них установлены уязвимые версии ПО. За обновлениями должны следить сами пользователи или администраторы корпоративных сетей, но, судя по всему, не все этим занимаются, посетовал он.

С ним в целом согласен Роман Ромачев: он отметил, что пользователи должны следить за тем, чтобы на сетевом оборудовании были установлены последние версии прошивок. «Все остальные способы защиты неэффективны», — заявил vc.ru представитель Infosec.

При этом Ромачев не доверяет автоматическим системам обновления: он советует самостоятельно скачивать новые версии прошивок и устанавливать их с флеш-накопителей.

Однако в ботнет Mēris входят устройства с разными версиями RouterOS, замечает Михаил Гнедой, ссылаясь на отчёт «Яндекса». Эту же особенность ботнета увидели пользователи форума MikroTik.

Версии прошивок MikroTik, входящих в ботнет Mēris "Яндекс" / Qrator Labs

Гнедой добавляет, что SOCKS-соединение с ботнетом могло сохраниться в маршрутизаторах MikroTik при переносе конфигурационных файлов (в них содержатся настройки маршрутизаторов) в сервисе MikroTik Cloud. Пользователи могли копировать настройки из «облака» компании в свои новые маршрутизаторы: так мог образоаться ботнет.

  • Сервис MikroTik Cloud позволяет переносить настройки между разными устройствами. Например, при покупке нового маршрутизатора владелец MikroTik может загрузить в него настройки своего подключения к интернету и параметры Wi-Fi-сети.

При этом не все конфигурации совместимы между собой, добавляет Гнедой. Например, при настройке его собственной домашней Wi-Fi-сети из двух ретрансляторов и управляющего маршрутизатора MikroTik при клонировании конфигураций возникали неполадки.

Еще одной точкой входа для хакера может стать discovery-сервис (MNDP), как правило включенный на многих устройствах по умолчанию для упрощения настройки, говорит Алексей Рыбалко.

В феврале 2020 года сразу пять таких уязвимостей устранила компания Cisco: discovery-протокол CDP давал злоумышленникам удалённый доступ к IP-телефонам и маршрутизаторам, но только из локальной сети.

«Мы работаем с MikroTik над возможным решением проблемы», — рассказали vc.ru в Qrator Labs, не уточняя, о какой именно проблеме идёт речь и не раскрывая подробностей сотрудничества.

Что рекомендуют эксперты, чтобы защититься от ботнетов

  • К маршрутизатору и IoT-устройствам установить надёжные пароли и время от времени менять их.
  • Отключить discovery-сервисы, которые созданы для упрощённой настройки роутеров: они передают в интернет информацию о версии операционной системы и другие данные. Во многих устройствах (например, MikroTik, Cisco) эти сервисы активны по умолчанию.
  • Включить встроенный в маршрутизатор фаервол и следить за тем, чтобы свободный доступ к устройству из интернета был исключён.
  • Обновить прошивку сетевого устройства до последней версии, а если производитель давно не выпускает обновлений, купить новое.
  • Не использовать файлы конфигурации, скачанные из интернета, а также настройки со старых устройств, если они совместимы с новыми.
  • Проводить регулярные проверки сети компании с помощью систем анализа трафика. Даже самое дорогое и надёжное оборудование при отсутствии администрирования и контроля не может гарантировать защиты данных.
{ "author_name": "Илья Шевелев", "author_type": "editor", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441","\u0431\u043e\u0442\u043d\u0435\u0442\u044b","mikrotik","meris"], "comments": 5, "likes": 14, "favorites": 34, "is_advertisement": false, "subsite_label": "tech", "id": 291631, "is_wide": true, "is_ugc": false, "date": "Tue, 14 Sep 2021 11:43:37 +0300", "is_special": false }
0
5 комментариев
Популярные
По порядку

млять, русским языком напишите 1,2,3 что делать, какие настрой произвести на микротике тупому юзеру 

3

А зачем тупому юзеру микротик?
Или сисадмин в отпуске?

0

Например, юзеры слышали, что микротики надёжны)
Мне лично нравится питание через изернет и бесшовные капсманы.
И максимум что я делаю - ставлю надёжный пароль и обновляю прошивку. ред.

0

Да вариаций масса:
1. Купил по совету друга.
2. Купил по совету продавца.
3. Купил потому что слышал от кого-то.
4. Купил потому что он классный хирург, а в качестве хобби увлекается роутербоард, но он только в начале пути.
5. Купил потому что красивая коробочка, минимализм 750го подкупил его тонкую душевную организацию.
6. Купил потому  прочитал статью на VC о том какой классный Микротик девайс.

И это я на ходу накидал варианты. Автор комментария прав по сути: статья ценнее в том случае, когда она не только интересна к прочтению, но ещё и полезна. 
 з.Ы. не стоит думать, что Ваша точка зрения есть истина в последней инстанции потому как людей много и они реально ВСЕ разные :)

0

поставить последнюю стейбл прошивку, закрыть неиспользуемы порты. 
чекнуть есть ли твой девайс в базе ботнета на https://radar.qrator.net/

3

Комментарий удален

Читать все 5 комментариев
Создал ледовый комбайн в 50, а вместе с ним и рынок таких машин, который сразу захватил — это изобретатель Фрэнк Замбони Статьи редакции

Иногда ледозаливочные машины других производителей по ошибке называют «Замбони», пишет The Hustle.

Ледовый комбайн Замбони Time
Как испортить лучшую систему комментариев в рунете на примере vc.ru

Иногда мне кажется, на vc.ru идёт прогресс дизайна ради дизайна, а не ради прогресса. Вот и до комментариев добрались.

Увидеть первые Apple, сделать копию на ксероксе и потрогать мышку: как в Минске-88 прошла выставка «Информатика в США» Статьи редакции

Выставка стала потрясением для жителей: это было похоже на фильм «Назад в будущее», который на выставке тоже показывали, рассказывает dev.by. Издание поговорило с экс-гидом той выставки и минчанами, которые до сих пор хранят значки с её логотипом.

Почему кейс с хомяком - не ошибка выжившего и не случайность

Сегодня Интернет облетела новость о том, что хомяк, бегая по своей клетке, заработал +29% на крипте. В комментария к публикации на VC многие писали, что это ошибка выжившего и просто случайность, которая ни о чем не значит. Я же постараюсь объяснить, почему это закономерность, и как сделать так, чтобы ваш кот/собака/рыбка показали такой же…

Как традиционному малому бизнесу превратиться в стартап: план действий

Сейчас в России предприниматели переходят из традиционного малого бизнеса в стартапы очень редко — меньше чем в 0,02% случаев. Это не больше 1 000 стартапов из около 6 млн предприятий малого бизнеса. Поговорим о том, что мешает предпринимателям и как действовать, если есть желание создать стартап.

Как мы проводили командную ретроспективу в Minecraft

Рассказываем историю, на что стоит обратить внимание при проведении командного мероприятия в игре Minecraft, какие грабли могут быть, как организовать онлайн- и офлайн-участие.

Готовы выбрать победителя премии «Экспортер года eBay — 2021»?
Ситимобил снял 5547 рублей за поездку в 36 км по городу

Всем доброго времени суток. Перед написанием этой статьи нашёл аналогичные, оказывается, что я далеко не первый. Жаль раньше не видел. Понимаю, что моя вина в ситуации тоже есть, но тут скорее о том, как Ситимобил относится к своим клиентам.

Прошел финал программы скаутинга в киберспорте Winstrike

Итоги программы Winstrike Scouting powered by UltraGear

Хомяк-криптотрейдер заработал 30% за три месяца в «клетке для торговли» — обойдя Уоррена Баффета и S&P 500 Статьи редакции

Мистер Гокс занимается торговлей криптовалютой с 12 июня.

Нужны ли в России сити-фермы

И появятся ли грядки на крышах пятиэтажек.

re-thinkingthefuture.com
null