Červ psyb0t – Linux router v domácí síti jako zombie botnetu

Botnet Psybot Tento týden na se IRC kanálu opakovaně objevoval nick s pobídkou na stažení zazipovaného souboru. V síti nic neobvyklé, až na to, že se jednalo o kousek kódu co během několika hodin obletěl svět. Server DroneBL, projekt distribuovaného DNS Blacklistu na svém blogu publikoval zajímavou stať o botnetu jménem Psybot. Dle odhadů botnet s pracovním názvem Psybot získal kontrolu již nad přibližne stotisíc routery po celém světě. Zatím jediná vykázana aktivita botnetu jsou distribuované útoky denial-of-service (DDoS). Promrhaná šance nebo pouze začátek?

Hostitelem červů jsou obvykle počítače s operačním systémem Windows. Jeden špatný klik a další zombie otročí pro botnet. Výkonný botnet složený převážně ze směrovačů je dost neobvyklá záležitost. Jak se zdá, právě Psybot se specializuje na napadení routerů malé domácí sítěkterá, která běží na Linux MIPS CPU.

Dle teorie (PDF) Terry Baume je hlavním cílem prvotního útoku router Netcomm NB5. Zejména pak starší verze DSL modemů s funkci routeru, webovým rozhraním a SSH portem, které jsou přímo přístupné ze sítě internet a přístup nevyžaduje heslo. I když byla bezpečnostní zranitelnost ošetřena updatem firmware, je otázka zda-li byla aktualizace instalována na všechny routery.

BotNet PsyBot

Jak infikace funguje? Po ověření přístupu do systému červ zavede soubor jméne udhcpc.env do /var/tmp a spustí ho. Program je MIPSel (little endian verze MIPSu) binárka pro Linux a jeho jméno je né nepodobné udhcp, DHCP software, běžne k vidění ve vestavěných systémech (embedded system). Psybot je dále schopen hledat a napadat systémy se zranitelnou verzi phpMyAdmin a MySQL a atakovat je. Prima pomyšlení v případě, že doma provozujete starší server. Psybot je skvělou demonstrací toho, že botnety nejsou problém který postihuje pouze Microsoft Windows počítače.

- Definice DroneBL (anglicky)
- Jste zranitelný ?
- Co je DNS Blacklist.