Galaxy, Nexus, Xperia, Optimus o altri dispositivi "robotici"? Che si tratti di configurare il telefono o tablet, installare una ROM "cucinata" o scambiare quattro chiacchiere sui migliori dispositivi, la community Android si incontra qui.
Puoi elaborare una soluzione simile utilizzando la funzionalità di owner match di iptables creando un utente apposito (da filtrare) o aggiungendo i programmi potenzialmente vulnerabili (tutti quelli che renderizzano html) ad uno specifico gruppo da filtrare.
Sono stato "infettato! anche io, ma al contrario vostro sono ingorantissimo in materia!
Ho connessione infostrada, Router Nilox e Windows XP sul Pc..
e da qualche giorno ho questo ospite:
Connessione lentissima e scheda che si apre da zero..!
Potete aiutarmi in qualche modo con dei passaggi semplici per risolvere il tutto? Grazie!
Prima di indicare i passaggi per una rimozione completa della minaccia cerco di spiegarti brevemente qual'è la particolarità di questo genere di infezioni.
L'infezione viene diffusa attraverso un vettore d'attacco imprecisato (probabilmente attraverso pagine web o e-mail malevole).
Il vettore include del codice che permette di colpire i router vulnerabili che utilizzano le credenziali predefinite (nel caso del Nilox dovrebbero essere "Admin", "Admin") o deboli. Se le precedenti condizioni sono valide, il codice malevolo altera le impostazioni del router che definiscono gli indirizzi IP dei server DNS (utilizzati dal router per risolvere i nomi di dominio) sostituendo quelli legittimi con altri malevoli controllati dal criminale che gli consentono di reindirizzare l'utente verso siti di phishing, malevoli o ricchi di pubblicità traendone profitto. Poiché la compromissione è al livello del router, il criminale può indirettamente colpire indirettamente tutti i dispositivi collegati al suddetto ed eventualmente comprometterli localmente.
Innanzitutto, controlla i DNS che sono impostati nel router. Accedi alla pagina di configurazione (nel browser, tipicamente all'indirizzo 192.168.1.1 o simili) e cerca una sezione DNS, probabilmente tra le opzioni avanzate. Dovrebbero esserci impostati due indirizzi, primario e secondario. Copiateli e scrivili qui
Per aggiungere informazioni che vadano a chiarire (o complicare il quadro) tengo a precisare che il mio router non usa la password di default e l'accesso avviene tramite https.
Ciononostante ho subito il redirect e pertanto non vorrei ci fosse altro in ballo, tipo una vulnerabilità degli OS dei router ancora non ufficialmente scoperta/rivelata oppure riguarda solo i browser (nel mio caso era chrome su android)
Al3x ha scritto:Mentre leggevo un articolo di TechCrunch su Flipboard (sezione technology), tappando su un link interno ad un articolo, si è aperto chrome e sono stato reindirizzato verso un sito che mi avvisa che ho fatto un sacco di cose cattive
Al3x ha scritto:Ciononostante ho subito il redirect e pertanto non vorrei ci fosse altro in ballo, tipo una vulnerabilità degli OS dei router ancora non ufficialmente scoperta/rivelata oppure riguarda solo i browser (nel mio caso era chrome su android)
Non credo si tratti di uno 0-day.
[Claudio] ha scritto:@Hash, più che l'articolo, diventa fondamentale la soluzione, se la trovi.
Il problema è che mi trovo al mare e fra studio (preparazione ai test universitari), riposo, scarsità di connettività internet mobile e la mia incapacità di scrivere velocemente sul tablet, mi risulta difficoltoso presentare risposte complete.
1) Introduction;
2) Analysis of the exploit;
3) Analysis of the CSRF payload;
4) Consequences of a malicious DNS server;
5) Prevalence of the exploit;
6) Recommendations to mitigate the problem;
7) Affected Devices;
8) References.
hashcat ha scritto:Il problema è che mi trovo al mare ....
Detto mestamente ..... ti invidio (e dire che sono appena tornato)
analisi interessante quella di Michele Nasi ma tutti i test condotti, almeno nel mio caso, non hanno rilevato alcuna vulnerabilità.
Sempre per fornire più dati possibili utili alla individuazione del problema, aggiungo una cosa che avevo omesso: la connessione di casa è assicurata da un router FRITZ!box a cui però ho dovuto aggiungere un access point TP-Link per estendere il segnale. Detto access point ha ancora la password predefinita per l'accesso all'interfaccia web mentre il wifi è debitamente protetto con wpa2 e password complessa.
Ciò che è successo nel mio caso non è esattamente uguale a quanto descritto nell'altro forum, a me la cosa si è ripetuta fino a quando non ho riavviato il telefono. Da quel momento il fenomeno non si è più ripresentato e cmq ha colpito solo ed esclusivamente il Note 2.
Non so se il codice che si trova dietro a questo redirect sia così sofisticato da rilevare ed attaccare non solo i router, ma anche altri dispositivi di rete che, nel mio caso, svolgono una funzione passiva (non DHCP o altre funzioni accessorie). Penso più ad una vulnerabilità del browser Chrome per Android che ad una compromissione dei miei apparati di rete; o forse colpisce lo stack di rete dello smartphone in un modo che non conosciamo e che "impone" al dispositivo parametri di rete nuovi e diversi da quelli passatigli dal DHCP del router.
Ma se fosse così, da dove è stato caricato questo codice? Era nel link interno a Flipboard o il sito di TechCrunch era infettato da qualche banner pernicioso?
Non mi spiego ciò che è avvenuto perché non ho trovato alterazioni vibili, ho anche controllato i log di accesso del router ma non ci sono tracce che fanno pensare a intrusioni.
Per precauzione ho disabilitato l'accesso da remoto tramite VPN ma l'ho fatto quando il fenomeno era scomparso quindi ci sono tante variabili, troppe per arrivare ad una conclusione certa che ci permetta di affermare con certezza che il problema sia da ricercare esclusivamente nella sicurezza dei nostri router.
Mi è ricapitato. Anche dopo aver cambiato la password (alfanumerica, lunga e complessa), oggi ho scoperto questo indirizzo 188.226.187.104 nei DNS del mio router. Anche se non c'è stato nessun redirect.
Il rom-0 test invece a me a rilevato una vulnerabilità, ma purtroppo le soluzioni proposte non sono disponibili nel mio router. Nei prossimi giorni proverò ad aggiornare il firmware, e vediamo che succede...
Al3x ha scritto:Per precauzione ho disabilitato l'accesso da remoto tramite VPN ma l'ho fatto quando il fenomeno era scomparso quindi ci sono tante variabili, troppe per arrivare ad una conclusione certa che ci permetta di affermare con certezza che il problema sia da ricercare esclusivamente nella sicurezza dei nostri router.
Beh, Alex, escludendo un problema (che comunque, mi sembra di capire, neppure tu, in linea di massima, escludi) dei router ( a proposito, dovrò verificare la presenza di eventuali aggiornamenti firmware del mio, e del WI-FI Range Extender ), oltre a un problema legato alla configurazione del browser non vedo (almeno io) altro.
Resta il fatto che la questione è parecchio estesa (i forum sono pieni di utenti che lamentano il problema e cercano soluzioni), sono dell'opinione che, almeno in via preliminare, ciò che viene suggerito nell'articolo di Michele Nasi, sia la prima strada da percorrere; tutto sommato, mettere in sicurezza il router anche se NON si è riscontrato il problema (e, allo stesso tempo, mettere mano alla configurazione del browser), non mi sembra una idea campata per aria.
Poi, se tu, Ganondolf, Hash, riuscite a tirare fuori dal cilindro una soluzione, è tanto di guadagnato.
[Claudio] ha scritto:ciò che viene suggerito nel suo articolo, da Michele Nasi, sia la prima strada da percorrere; tutto sommato, mettere in sicurezza il router anche se NON si è riscontrato il problema.
Mai affermato il contrario, fa anzi parte delle buone pratiche da seguire. Forse pero non mi sono spiegato bene, le mie considerazioni vertono su un punto che mi pare non trascurabile: ci sono casi in cui le condizioni suggerite da Michele sono già applicate e ciononostante il redirect si verifica ugualmente. Temo che il problema non si limiti ai router ma a qualche falla non ancora identificata.
[Claudio] ha scritto:allo stesso tempo, mettere mano alla configurazione del browser, non mi sembra una idea campata per aria.
Non posso preoccuparmi di mettere in sicurezza il browser da questo tipo di attacchi, non devono proprio verificarsi ed è compito degli sviluppatori individuare e tappare l'eventuale falla.
Non posso uscire di casa con ago e filo perchè potrebbero scucirsi i pantaloni, devono essere ben fatti e strapparsi solo se finisco nel filo spinato.
E visitare TechCrunch non è finire nel filo spinato ma entrare in una edicola.
Da qualche parte abbiamo un difetto di fabbrica che qualcuno sta sfruttando per portare degli attacchi e temo che le contromisure fatte in casa (ben vengano) siano utili a contribuire all'analisi dell'attacco ma non risolvono il problema.
Spero di aver espresso meglio il concetto
Al3x ha scritto:Non posso preoccuparmi di mettere in sicurezza il browser da questo tipo di attacchi, non devono proprio verificarsi ed è compito degli sviluppatori individuare e tappare l'eventuale falla.
Sei in attesa di un miracolo? .... eddai Alex
Da qualche parte abbiamo un difetto di fabbrica che qualcuno sta sfruttando per portare degli attacchi e temo che le contromisure fatte in casa (ben vengano) siano utili a contribuire all'analisi dell'attacco ma non risolvono il problema.
Sul fatto che qualcuno stia sfruttando una vulnerabilità, non ci sono dubbi, mentre è preoccupante leggere, da parte tua, che il problema possa essere non risolvibile, se non attraverso un intervento di coloro che dovrebbero "tappare" la falla; mi pongo una domanda: quali sono i device coinvolti a questo punto?.
Al3x ha scritto:Spero di aver espresso meglio il concetto
Chiarissimo, Alex (ma, per come la vedo io, non è questo il punto) .... se non rilevi una falla di sicurezza nel router non mi sembra si propongano altre alternative: o si tratta di una vulnerabilità che riguarda il browser oppure la APP (nello specifico FlipBoard, con la cortese collaborazione dei "siti che stanno veicolando il ransomware").
E, se nel secondo caso, la cosa la deve risolvere lo sviluppatore della APP, nel primo (mica è obbligatorio, per carità) ci deve pensare l'utente (e questo vale in ogni caso, si tratti di device o computer).
[Claudio] ha scritto:mentre è preoccupante leggere, da parte tua, che il problema possa essere non risolvibile, se non attraverso un intervento di coloro che dovrebbero "tappare" la falla; mi pongo una domanda: quali sono i device coinvolti a questo punto?.
riassumo:
- apriamo una pagina con il browser del telefono e si viene reindirizzati ad un sito che fa parte di una truffa
- alcuni utenti (non tutti) scoprono che i valori DNS del router sono stati modificati, come è potuto avvenire?
- si scopre che alcuni router sono vulnerabili ad un certo tipo di attacco, sembra che del codice appositamente forgiato presente in alcuni siti costringe il browser(?) ad agire sul router e modificarne i parametri. Bene, quali sono questi siti? Sono circuiti di advertising? Quindi sono loro i responsabili? Oppure lo sono in parte perché i browser dei nostri dispositivi consentono questa operazione e come parte della truffa, hanno anche loro falle che concorrono al verificarsi delle condizioni di questo attacco?
Come vedi non si tratta solo di fare hardening del browser o del router, ci sono parecchi concorrenti in questa storia:
- apparati di rete vulnerabili che non offrono aggiornamenti (quindi colpa dei produttori) e la falla potrebbe essere sfruttata per altri tipi di attacchi a venire;
- ci sono siti che veicolano l'attacco (gestori poco accorti e scarsamente interessati alla tutela dei propri utenti) e quindi in parte colepvoli/corresponsabili;
- dispositivi usati dagli utenti che consentono l'attacco (falle, sviste, errori di programmazione?) e quindi produttori colpevoli anch'essi per la qualità del loro prodotto.
Se l'ABS della mia MB ha un difetto di fabbrica ed in un forum scoprono che con una graffetta si risolve, almeno temporaneamente, il problema, ben venga la soluzione fatta in casa. Ma è cosa logica aspettarsi che i signori che hanno prodotto la vettura provvedano quanto prima a risolvere il problema.
Se non fosse così allora anche Windows XP potrebbe continuare la sua vita con tanta gente volenterosa che trova patch e soluzioni alternative, ma nella realtà dei fatti, quello è un sistema su cui nessuno, tranne Microsoft, può mettere seriamente e definitivamente le mani per risolvere falle e vulnerabilità.
Troppi fattori, almeno all'apparenza, concorrono alla riuscita di questo attacco e l'intervento deve essere serio e preso in mano dagli sviluppatori e dagli esperti di sicurezza (facendo tesoro di quanto scaturisce da discussioni come questa o dalle soluzioni proposte come quella dell'articolo di Michele Nasi).
Caro Claudio non aspetto nessun miracolo, è evidente che abbiamo una visione della questione totalmente differente e non mi aspetto che tu cambi idea come è vero che neanche io la cambio
Al3x ha scritto:Caro Claudio non aspetto nessun miracolo, è evidente che abbiamo una visione della questione totalmente differente e non mi aspetto che tu cambi idea come è vero che neanche io la cambio
Inside bastard .... Alex, sai che ti stimo, quindi i nostri (finti) "scontri" sono delle vere bufale
Ganondolf ha scritto:Mi è ricapitato. Anche dopo aver cambiato la password (alfanumerica, lunga e complessa), oggi ho scoperto questo indirizzo 188.226.187.104 nei DNS del mio router. Anche se non c'è stato nessun redirect.
Ganondolf ha scritto:No, non ci sono stati altri redirect, per fortuna, ma ho trovato un nuovo intruso nel router (ed eliminato prima che potesse fare danni).
Quindi Gan, la tua situazione era, più o meno (redirect a parte) quella prospettata nell'articolo di Michele Nasi?.
Mi scuso per il mio silenzio ma, in questo momento, ho a disposizione un'ora in cui cercherò anch'io di contribuire alla discussione cercando di fare chiarezza.
Premessa: ho letto velocemente / parzialmente / superficialmente alcuni dei recenti post di questa discussione.
Ho scoperto che esiste un'ulteriore vulnerabilità di cui ero all'oscuro (la ROM-0) che sembra colpire i router (alcuni ??) basati sul sistema operativo ZyNOS (proprietario della ZyXEL). A quanto pare lo ZyNOS è utilizzato da molti produttori di router come TP-LINK, Huawei, ZyXEL, ZTE, Netgear, D-Link, Kraun, ...
La vulnerabilità permette ad un attaccante remoto non autenticato, in possesso del solo IP bersaglio, di scaricare il file ROM-0 del router che include, in chiaro, tutte le impostazioni di configurazione del router (comprese le credenziali d'acceso all'interfaccia d'amministrazione).
Tutto ciò può essere automatizzato tramite script (in rete ve ne sono molteplici) che restituiscono direttamente le credenziali del router.
Analizziamo quindi i problemi noti cercando di comprenderne l'impatto e le possibili soluzioni.
<<CSRF>>
Requisiti:
Il router bersaglio è vulnerabile ad attacchi della tipologia CSRF
L'interfaccia d'amministrazione del router utilizza le credenziali d'accesso predefinite o deboli
Il gateway è raggiungibile all'indirizzo IP locale predefinito
L'utente non è connesso ad una VPN (??)
L'utente renderizza, mentre connesso alla propria rete locale, del codice HTML / JavaScript malevolo presente in una pagina web, e-mail, etc...
Non si verifica quanto indicato nella sezione "Soluzioni"
Funzionamento (due casi):
L'utente renderizza, mentre connesso alla propria rete locale, del codice HTML / JavaScript malevolo presente in una pagina web, e-mail, etc...
L'utente si è autenticato nell'interfaccia web del router attraverso un browser ed, al termine delle proprie operazioni, esce dalla suddetta senza terminarne la sessione (cookie).
L'attaccante sfrutta la "sessione aperta" bypassando la richiesta delle credenziali
Soluzioni (primo e secondo caso):
Ne ho riportate alcune in QUESTO mio precedente messaggio
Terminare sempre la sessione o rimuovere i cookie relativi al termine delle operazioni d'amministrazione; utilizzare un browser ad hoc solo per questo genere di operazioni
<<ROM-0>>
Requisiti:
Il router bersaglio utilizza il firmware ZyNOS ed è affetto dalla falla ROM-0
L'attaccante è in possesso dell'IP remoto del router
Non si verifica quanto indicato nella sezione "Soluzioni"
Funzionamento^:
L'attaccante effettua una richiesta HTTP GET per scaricare il file ROM-0 memorizzato sul router bersaglio
L'attaccante utilizza un servizio web per decodificare il file ROM-0
L'attaccante estrae dal file decodificato le credenziali d'accesso all'interfaccia web
L'attaccante, in possesso delle credenziali, sfrutta altre vulnerabilità come la CSRF per alterare le impostazioni del router
^I passaggi possono essere automatizzati attraverso l'utilizzo di appositi script.
Soluzioni:
Se possibile, aggiornare il firmware del router ad una versione non vulnerabile
Modificare via telnet i parametri che regolano le sorgenti autorizzate per l'accesso remoto al router (esempio QUI)
Effettuare il port forwarding della porta 80 (forse anche della 443 e della 8080) verso un dispositivo della rete locale
Il router dispone della funzionalità di ACL e questa è stata configurata per permettere l'accesso al router dalla sola rete locale
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.
Sasha
