بوتان راوتر مستمر في الأفق ، يقول الباحث في ديفكون

أظهر الباحث الأمني ​​مايكل كوبولا كيف يمكن اختراق أجهزة التوجيه الصغيرة والمنزلية (SOHO) وتحويلها إلى عملاء الروبوتات من خلال تحديثها بإصدارات مستتردة من البرامج الثابتة التي يوفرها البائع.

أعطى كوبولا ، وهو مستشار أمني في Virtual Security Research (VSR) ، دورة مكثفة في الخلفية الثابتة لجهاز التوجيه - وهي عملية معقدة تتطلب مهارات هندسية عكسية - في مؤتمر Defcon hacker يوم الأحد.

خلال تحدث أيضًا عن أداة يطلق عليها إطار عمل Post-Exploitation (rpef) الذي يعمل على أتمتة عملية تأطير البرامج الثابتة للعديد من طرازات الموجهات الشائعة من بائعين مختلفين.

[المزيد القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

تشتمل الأجهزة التي يدعمها rpef على: Netgear WGR614 و WNDR3700 و WNR1000 ؛ لينكسيس WRT120N ؛ TRENDnet TEW-651BR و TEW-652BRP؛ D-Link DIR-601 و Belkin F5D7230-4.

يمكن استصدار إصدارات محددة فقط من أجهزة التوجيه هذه مع إطار العمل وبعضها يتطلب المزيد من الاختبارات. ومع ذلك ، سيتم توسيع قائمة الأجهزة المدعومة في المستقبل.

يمكن لـ Rpef إضافة العديد من الحمولات إلى البرامج الثابتة لجهاز التوجيه: غلاف ربط الجذر ، أو شبكة اتصال بالشبكة أو عميل botnet يتصل بـ IRC (اتصال عبر الإنترنت) الخادم حيث يمكن أن تتلقى أوامر مختلفة من المهاجم ، بما في ذلك واحدة لإطلاق هجوم الحرمان من الخدمة.

كتابة البرامج الثابتة مستتر على جهاز - عملية تعرف أيضا باسم الوميض - يمكن القيام به من خلال شبكة الإنترنت ، يمكن أن تؤدي واجهات الإدارة المستندة إلى معظم أجهزة التوجيه ومهاجم بعيد إلى إساءة استخدام هذه الميزة بعدة طرق.

تتمثل إحدى الطرق في فحص الإنترنت لأجهزة التوجيه التي تجعل واجهة الإدارة المستندة إلى الويب قابلة للوصول عن بُعد. هذا ليس الإعداد الافتراضي في العديد من أجهزة التوجيه اليوم ، ولكن الكثير من الأجهزة التي تمت تهيئتها مثل هذه متوفرة على الإنترنت.

بمجرد التعرف على هذه الأجهزة ، قد يحاول المهاجم استخدام كلمة المرور التي يوفرها المورد الافتراضي ، القوة الغاشمة كلمة المرور أو مصادقة استغلال تجاوز نقاط الضعف للوصول. هناك مواقع الويب التي تتخصص في تعقب وتوثيق بيانات اعتماد ومفاتيح الثغرات الإدارية الافتراضية للموجه.

"لقد أجريت عمليات تفحص للمنافذ وهناك شبكات ضخمة مع الآلاف من عناوين IP لأجهزة التوجيه المفتوحة التي تستمع عن بعد إلى الإنترنت مع كلمات المرور الافتراضية ، "قال كوبولا.

ومع ذلك ، حتى عندما لا تتعرض واجهة الويب إلى الإنترنت ، هناك طرق لفلاشها مع البرامج الثابتة المارقة عن بعد.

في عرض تقديمي في مؤتمر الأمن في Black Hat يوم الخميس ، أظهر باحثان أمنيان Phil Purviance و Joshua Brashars ، يعملان في شركة الاستشارات الأمنية AppSec Consulting ، كيف يمكن أن تتعرض هجمات JavaScript المعروفة الجمع بين التقنيات الجديدة القائمة على HTML5 لتشغيل البرنامج الثابت المخصص DD-WRT Linux على جهاز التوجيه الخاص بالمستخدم عند زيارته لموقع ويب ضار.

توجد بالفعل نصوص برمجية مستندة إلى جافا سكريبت يمكن أن تعدد أجهزة الشبكة المحلية من خلال الضحية المتصفح وحتى تحديد نوع هذه الأجهزة وطرازها وطرازها - وهي تقنية تعرف باسم بصمة الجهاز.

لا يمكن تحديد عنوان IP للشبكة الداخلية للضحية باستخدام جافا سكريبت فقط ، ولكن يمكن استخدام محتوى قائم على المكونات مثل جافا لهذا الغرض ، قال Purviance و Brashars.

بمجرد التعرف على جهاز توجيه ، يمكن للمهاجم محاولة الوصول إلى واجهة الويب الخاصة به من خلال متصفح الضحية باستخدام بيانات اعتماد افتراضية أو عن طريق إطلاق هجوم التزوير عبر الموقع (CSRF) الذي piggybacks على الجلسة النشطة للضحية.

إذا كان الضحية سجل دخوله إلى واجهة الموجه على الويب مع نفس المتصفح في الماضي وما زال ملف تعريف ارتباط الجلسة الخاص به نشطًا ، فيمكن للمهاجم ببساطة توجيه ال متصفح m لتنفيذ إجراء في واجهة جهاز التوجيه دون الحاجة إلى المصادقة.

الكثير من أجهزة التوجيه ، خاصة القديمة منها التي لم يتم تحديثها مع البرامج الثابتة الجديدة ، لا توفر حماية CSRF.

أثبت Purviance و Brashars كيف أن ميزات المتصفح الجديد مثل XMLHttpRequest Level 2 (XHR2) ، مشاركة الموارد عبر أصل CORS) و HTML5 File API ، يمكن استخدامها لتنزيل ملف البرامج الثابتة المارقة إلى متصفح المستخدم ثم قم بوميض جهاز التوجيه معه دون أي تدخل من المستخدم. وقال الباحثان إن هذا لم يكن ممكنا في الماضي باستخدام جافا سكريبت وتقنيات المتصفح الأقدم.

استخدم العرض التوضيحي الخاص به DD-WRT ، الذي أدى إلى سقوط إعادة ضبط إعدادات المستخدم المعرفة ويمكن اكتشافه بسهولة لأنه يحتوي على واجهة مختلفة.

ومع ذلك ، يمكن بسهولة أن يقترن هجومها مع البرامج الثابتة المستتردة التي تنتجها أداة كوبولا. بدلا من DD-WRT ، يمكن للمرء أن يحمّل البرامج الثابتة المستعرة وسوف يظهر بنفس الطريقة الأصلية ، كما يقول كوبولا.

حتى يمكن الاحتفاظ بالإعدادات المعرفة من قبل المستخدم. معظم أجهزة التوجيه توفر خيارًا للاحتفاظ بالإعدادات عند إجراء تحديث للبرامج الثابتة ، على حد قول كوبولا. يتم تخزين هذه الإعدادات على شريحة ذاكرة منفصلة تسمى NVRAM (ذاكرة الوصول العشوائي غير المتطايرة) التي لا تحصل على الكتابة عندما تومض البرامج الثابتة ، كما قال.

"هناك الكثير من الفرص للناس لجعل بوت نتس ضخمة فقط من أجهزة التوجيه ، "قال كوبولا. "في الواقع أعتقد أن هذا سيبدأ في الظهور ولا أعني ذلك بطريقة مثيرة."

الروبوتات القائمة على الموجه ليست مجرد مفهوم. مرة أخرى في عام 2009 ، اكتشف DroneBL ، وهي منظمة تتعقب عناوين IP لأجهزة الكمبيوتر المصابة ، دودة كانت تصيب أجهزة التوجيه وأجهزة المودم DSL التي تعمل بتوزيع ديببيان mipsel.

في عام 2011 ، جاء باحثون من بائع مضاد الفيروسات تريند مايكرو عبر قطعة مماثلة من البرامج الضارة التي كانت تنتشر في أمريكا اللاتينية وكانت تستهدف أجهزة توجيه D-Link. في كلتا الحالتين ، كانت البرامج الضارة تستخدم هجمات القوة الغاشمة وبيانات الاعتماد الافتراضية لخرق أجهزة التوجيه وتثبيت عميل مؤقت لشبكة الروبوتات التي كانت تتم إزالتها عند أجهزة التوجيه

مع البرامج الثابتة المسترجعة التي تم إنشاؤها بواسطة أداة Coppola ، تستمر العدوى عند إعادة تشغيل الجهاز ويتم إخفاء البرمجيات الخبيثة من نوع rootkit التي تعمل على الجهاز في الواقع.

السبب في أن برامج botnet الشبكية ليست شائعة حتى الآن قال كوبولا: "إن الأدوات المناسبة لإيجادها غير موجودة". وقال إن أداة منفصلة عرضت في ديفكون يوم الجمعة تسمى Firmware Reverse Engineering Konsole (FRAK) تزيد من مستوى التحليل الذي يمكن أن يقوم به الناس على البرامج الثابتة.