Bem-vindo à Comunidade UBNT

Informação sobre um Worm que procura infectar os rádios airMAX

UBNT-JamieUBNT-Jamie 711 Pontos

Como foi minha rede infectada pelo Worm?


Foi relatado em alguns tópicos aqui do fórum em português (#1#2, entre outros) a existência de outro Worm, parecido com o Skynet, porém, diferente em si. Até agora, o Worm somente tem-se manifestado quando os rádios da rede faltam a devida segurança, estando com:

 

  1. Senha de padrão (ubnt/ubnt).

  2. Firmware desatualizado (visite downloads.ubnt.com para baixar o mais novo).

Por ser um worm, a infecção de apenas um rádio pode levar outros a ser infectado, caso não cumpram com essas duas regras de segurança.

 

Quais os síntomas do Worm?


O que indica que sua rede foi infectada pelo Worm?

 

  1. Existência de arquivos no diretório /etc/persistent além dos keys de dropbear.

    Segue abaixo o output do comando ls -la /etc/persistent de um rádio não-infectado:

    Screen Shot 2015-03-26 at 16.37.24.png

    Segue abaixo o output do comando ls -la /etc/persistent de alguns rádios infectados, porém cada um com arquivos de malware de nomes diferentes:
    drwxr-xr-x 3 admin admin 160 Feb 21 08:28 .
    drwxr-xr-x 10 admin admin 840 Feb 23 18:06 ..
    -rwxr--r-- 1 admin admin 763528 Feb 21 08:29 7202a
    -rw-r--r-- 1 admin admin 873472 Feb 21 02:39 Gates_7100
    lrwxrwxrwx 1 admin admin 21 Jan 1 1970 cardlist.txt -> /usr/etc/cardlist.txt
    -rw------- 1 admin admin 458 May 28 2013 dropbear_dss_host_key
    -rw------- 1 admin admin 427 May 28 2013 dropbear_rsa_host_key
    drwxr-xr-x 3 admin admin 60 Jan 1 1970 mcuser
    drwxr-xr-x 2 ubnt admin 320 Apr 5 01:31 .
    drwxr-xr-x 10 ubnt admin 780 Apr 3 18:01 ..
    -rwxrwxrwx 1 ubnt admin 1156461 Apr 4 22:04 1
    -rwxrwxrwx 1 ubnt admin 57344 Apr 5 04:04 11
    -rw-r--r-- 1 ubnt admin 295936 Apr 4 22:04 2
    -rwxrwxrwx 1 ubnt admin 0 Apr 5 04:05 22
    -rwxrwxrwx 1 ubnt admin 0 Apr 5 04:05 33
    -rwxrwxrwx 1 ubnt admin 1156895 Apr 4 20:00 7
    -rwxrwxrwx 1 ubnt admin 1156461 Apr 3 20:06 8
    -rwxrwxrwx 1 ubnt admin 1156895 Apr 3 20:06 9
    -rwxrwxrwx 1 ubnt admin 763528 Apr 3 18:10 agl1
    -rw------- 1 ubnt admin 460 Apr 3 18:01 dropbear_dss_host_key
    -rw------- 1 ubnt admin 426 Apr 3 18:01 dropbear_rsa_host_key
    -rwxrwxrwx 1 ubnt admin 1156461 Apr 4 05:40 qz1
    -rwxrwxrwx 1 ubnt admin 1001465 Apr 4 18:53 qz2
    -rwxrwxrwx 1 ubnt admin 1156895 Apr 4 19:16 qz3
    drwxr-xr-x 2 fastnet admin 220 Aug 31 15:24 .
    drwxr-xr-x 10 fastnet admin 800 Aug 31 04:25 ..
    -rwxrwxrwx 1 fastnet admin 763528 Aug 31 07:57 10086
    -rwxrwxrwx 1 fastnet admin 427520 Aug 31 08:39 12580
    -rwxr--r-- 1 fastnet admin 763528 Aug 31 14:36 Fdb7303
    -rwxr--r-- 1 fastnet admin 763528 Aug 31 04:25 Fkk8088
    -rw------- 1 fastnet admin 457 Aug 30 16:23 dropbear_dss_host_key
    -rw------- 1 fastnet admin 426 Aug 30 16:23 dropbear_rsa_host_key
    -rwxrwxrwx 1 fastnet admin 763528 Aug 31 15:24 dsds
    -rwxrwxrwx 1 fastnet admin 763528 Aug 31 08:55 fsst
    -rwxrwxrwx 1 fastnet admin 763528 Aug 31 04:13 sungfjwwg
  2. Alto tráfego de upload desde os rádios da rede para endereços IP não apenas limitado a:

    – 104.193.92.87

    – 183.60.149.199

    – 61.147.70.110

    . . .entre outros.

  3. O painel do web GUI para o rádio indica que os Custom Scripts foram ativos (sendo que você não tem ativado script nenhum).

    11.png

Como eu faço para remover o Worm da minha rede?


Alguns usuários tem relatado que apenas reiniciando o rádio, os arquivos de malware somem. Não obstante, o segundo método é recomendado, já que remova-o em massa, praticamente eliminando a possibilidade do worm voltar enquanto o processo (seja reiniciar ou removê-lo um por um como sugeriado no primeiro método) seja aplicado.

 

Método 1: Um por um via SSH

 

  1. Conectar ao rádio via SSH

  2. Digite cd /etc/persistent

  3. Digite ls -la /etc/persistent para notar quais arquivos o Worm tem criado (segue abaixo um output como exemplo):

    drwxr-xr-x 3 admin admin 160 Feb 21 08:28 .
    drwxr-xr-x 10 admin admin 840 Feb 23 18:06 ..
    -rwxr--r-- 1 admin admin 763528 Feb 21 08:29 7202a
    -rw-r--r-- 1 admin admin 873472 Feb 21 02:39 Gates_7100
    lrwxrwxrwx 1 admin admin 21 Jan 1 1970 cardlist.txt -> /usr/etc/cardlist.txt
    -rw------- 1 admin admin 458 May 28 2013 dropbear_dss_host_key
    -rw------- 1 admin admin 427 May 28 2013 dropbear_rsa_host_key
    drwxr-xr-x 3 admin admin 60 Jan 1 1970 mcuser
  4. Digite rm 7202a

  5. Digite rm Gates_7100

  6. Digite rm cardlist.txt (caso não tenha custom scripts ativo)

  7. Digite cfgmtd -w -p /etc/

  8. Digite reboot

Método 2: Em massa via airControl

 

É preciso acessar um rádio via SSH para descobrir quais os arquivos de malware para remover.

 

  1. No airControl, selecione os dispositivos para serem consertos.

  2. Clique direito, e selecione Tasks/Operations.

  3. Escolhe Execute Command.

  4. No campo de comandos, digite rm [nome_do_arquivo_1]; rm [nome_do_arquivo_2]; cfgmtd -w -p /etc/; reboot para remover os arquivos de malware em todos os rádios selecionados.

Como eu faço para prevenir que o Worm volte a minha rede?


Depois de mudar a senha do padrão e de atualizar o firmware, seu rádio estará "imunizado" contra o Worm. Porém, isso não irá removê-lo uma vez que o rádio esteja infectado. Depois de removê-lo totalmente de sua rede, recomendamos mudar as senhas de todos os rádios também.

 

Mesmo com uma senha robusta, é recomendado limitar o acesso de gerenciamento (SSH, HTTPS, etc.) para protegê-lo contra ataques de brute force, etc. Algumas sugestões:

  • Configurar uma VLAN de gerenciamento para os rádios, com uma VLAN separada para trafegar os dados dos clientes.
  • Mudar as porta de padrão (443 para HTTPS, 22 para SSH).
  • Aplicar as regras de firewall na interface WAN para bloquear acesso (as portas por exemplo) aos rádios que estejam acessíveis ao público.
Entre ou Registre-se para fazer um comentário.