Как не стать частью ботнета: советы по защите роутеров от специалистов по безопасности Infosec, Qrator Labs и «Р-Техно»
Опубликовано 15.09.2021 Автор CEO
В августе 2021 года ботнет Mēris, созданный при помощи сетевого оборудования MikroTik, начал крупнейшую в истории интернета DDoS-атаку, рассказывал «Яндекс». Эксперты по сетевой безопасности считают, что частью ботнета может стать каждый, а его жертвой — сервер любой компании.
Что известно о ботнете Mēris и его предшественниках
8 сентября «Яндекс» рассказал, что его сервисы подверглись DDoS-атаке. Ботнет Mēris (с латышского «чума») атаковал серверы компании в течение месяца. Атака провалилась.
Ботнет — виртуальная сеть устройств, от компьютеров до IoT-приборов, к которым у хакеров есть удалённый доступ. Владельцы оборудования зачастую не подозревают, что оно стало частью ботнета.
Mēris насчитывает до 250 тысяч скомпрометированных устройств в разных странах мира. В его состав входят маршрутизаторы и роутеры марки MikroTik.
Мощность Mēris оценивается в 20 млн RPS (запросов в секунду). Ботнет, по данным «Яндекса», с августа атакует веб-серверы в Новой Зеландии, США и России. В компании назвали его «угрозой в масштабах страны».
Представители «Яндекса» также заявили, что атака никак не повлияла на работу сервисов, и данные пользователей не пострадали. Компания не раскрывала подробностей о возможных операторах ботнета и заказчиках DDoS-атаки. Неизвестно, обращалась ли она в полицию или ФСБ.
В тот же день владельцы ботнета попытались вывести из строя «Хабр».
Масштабные DDoS-атаки ботнетов случались и раньше.
7 февраля 2000 года сеть Rivolta (с итальянского «месть») 15-летнего хакера из Канады Майкла Калсе «уронила» сайты Buy.com, Amazon, CNN, Dell, eBay, FIFA и Yahoo. Ботнет состоял, по разным данным, из домашних компьютеров и взломанных университетских серверов. Компании оценили ущерб в $1,2 млрд. В 2011 году стало известно, что Калсе начал карьеру эксперта по информационной безопасности.
В апреле 2015 года Интерпол уничтожил ботнет Simda, заразивший 770 тысяч компьютеров из 190 стран. С помощью уязвимостей в ПО от Oracle, Adobe и Microsoft хакеры добывали данные банковских карт и показывали пользователям всплывающие рекламные баннеры, на которых злоумышленники зарабатывали. Самые пострадавшие страны — Россия, США, Великобритания, Канада и Турция.
17 октября 2016 года ботнет Mirai (с японского «будущее») приостановил работу DNS-провайдера Dyn. Услугами провайдера пользовались Netflix, Reddit, Twitter и другие компании. В составе Mirai насчитывалось более 11 млн устройств «интернета вещей». Исходный код ботнета опубликован на Github.
Почему маршрутизаторы могут стать частью ботнета и как проверить свои устройства
Оборудование MikroTik популярно в России и на постсоветском пространстве благодаря хорошей скорости передачи данных и невысокой цене, считает специалист по администрированию сетей, сертифицированный компанией Cisco, Михаил Гнедой.
По его словам, это оборудование также подходит для организации сетей в малых и средних компаниях. Устройства MikroTik относятся к классу полупрофессиональных, при этом они более функциональны, чем маршрутизаторы Linksys, и дешевле сложных решений от Cisco.
Проблемы с сетевым оборудованием возникают не только у владельцев Mikrotik, рассказал vc.ru практикующий специалист по тестированию информационных систем Алексей Рыбалко.
По его словам, сама возможность создания ботнетов возникает из-за человеческого фактора. Пользователи домашних роутеров не следят за безопасностью устройств, а администраторы компаний не проверяют свои сети.
Например, в январе 2021 года пользователь «Хабра» обнаружил узявимость служебной сети РЖД: благодаря слабым паролям в оборудовании MikroTik любой заинтересованный человек мог получить доступ к камерам видеонаблюдения, сервисам и документам компании.
Часто действует принцип «надо чтоб заработало в срок», поэтому по сути развёртывается а-ля «опытная эксплуатация» или «пилот», без балансировки, с открытием сразу всех портов, с дачей одной административной учётной записи с максимальными правами под все роли и задачи.
И это нормально — для быстрого пилотного внедрения. Но потом это уходит на «продуктив»: систему нагружают по-полной, а акценты инженеров, которые развёртывали инфраструктуру, смещаются в сторону решения других задач. А основа — она так и остаётся в таком виде, к её переработке могут не вернуться никогда. Пока не «клюнет».
Потом выясняется, что пароль на учётку админа или доступа к СУБД оставили 12345, порты открыты для сетевых сканеров, а консоль управления подписана самоподписанным сертификатом. Это только крупные ляпы, пентестер найдёт гораздо больше разных мест для проникновения.
практикующий специалист по тестированию информационных систем
Ранее похожую мысль у себя в Telegram-канале высказывал бывший топ-менеджер «Яндекса» Григорий Бакунов.
Проблема в том, что каждый современный маршрутизатор представляет собой микрокомпьютер, рассказал vc.ru руководитель компании «Р-Техно» Роман Ромачев. RouterOS в устройствах MikroTik — это урезанный вариант Unix-подобной ОС.
Трое опрошенных vc.ru специалистов по сетевой и информационной безопасности соглашаются, что ситуация с роутерами MikroTik в целом сходна с известными проблемами «интернета вещей».
Никто не мешает запустить что-то на них и исполнять код.
Производительности хватит, при этом ботнетом будут заражаться именно пользовательское оборудование, как наименее защищённое.
При этом обнаружить нежелательную активность того или иного устройства MikroTik достаточно сложно: пользователь не заметит, что его роутером управляют извне, отмечают в Infosec.
Однако, по данным отчёта «Яндекса» и комментариям MikroTik, найти нежелательную активность в роутере всё же можно, если обратиться к его настройкам в мобильном приложении или в программе Winbox для настольных систем, замечает Гнедой.
Так, из отчёта следует, что на скомпрометированных устройствах открыты порты 2000 и 5678, а также установлено SOCKS-соединение с ботоводом.
Все специалисты по сетевой безопасности также рекомендуют следить за списками открытых портов в настройках маршрутизаторов. А подозрительные соединения отключать.
Кроме того, собеседники vc.ru советуют пользоваться встроенными в роутеры фаерволами: системами фильтрации входящих соединений.
Обнаружить свой маршрутизатор в ботнете также можно при помощи анализаторов трафика, например, Wireshark, TCPdump, NetworkMiner. Однако, по словам трёх специалистов по сетевой безопасности, пользователи и системные администраторы небольших компаний занимаются мониторингом активности оборудования нерегулярно.
10 сентября компания Qrator Labs, которая расследовала действия нового ботнета, представила сервис, для проверки роутеров MikroTik. «Лаборатория Касперского» выпускала похожее веб-приложение для борьбы с ботнетом Simda в 2015 году.
Как обезопасить роутер и устройства в домашней сети
Уязвимое место сетевого оборудования — прошивка, считают эксперты. Чаще всего атакующие находят в сети устройства со старыми версиями прошивок и эксплуатируют их известные уязвимости.
Так, Бакунов замечал, что устройства MikroTik не обновляются автоматически, и в результате на многих из них установлены уязвимые версии ПО. За обновлениями должны следить сами пользователи или администраторы корпоративных сетей, но, судя по всему, не все этим занимаются, посетовал он.
С ним в целом согласен Роман Ромачев: он отметил, что пользователи должны следить за тем, чтобы на сетевом оборудовании были установлены последние версии прошивок. «Все остальные способы защиты неэффективны», — заявил vc.ru представитель Infosec.
При этом Ромачев не доверяет автоматическим системам обновления: он советует самостоятельно скачивать новые версии прошивок и устанавливать их с флеш-накопителей.
Однако в ботнет Mēris входят устройства с разными версиями RouterOS, замечает Михаил Гнедой, ссылаясь на отчёт «Яндекса». Эту же особенность ботнета увидели пользователи форума MikroTik.
Гнедой добавляет, что SOCKS-соединение с ботнетом могло сохраниться в маршрутизаторах MikroTik при переносе конфигурационных файлов (в них содержатся настройки маршрутизаторов) в сервисе MikroTik Cloud. Пользователи могли копировать настройки из «облака» компании в свои новые маршрутизаторы: так мог образоаться ботнет.
Сервис MikroTik Cloud позволяет переносить настройки между разными устройствами. Например, при покупке нового маршрутизатора владелец MikroTik может загрузить в него настройки своего подключения к интернету и параметры Wi-Fi-сети.
При этом не все конфигурации совместимы между собой, добавляет Гнедой. Например, при настройке его собственной домашней Wi-Fi-сети из двух ретрансляторов и управляющего маршрутизатора MikroTik при клонировании конфигураций возникали неполадки.
Еще одной точкой входа для хакера может стать discovery-сервис (MNDP), как правило включенный на многих устройствах по умолчанию для упрощения настройки, говорит Алексей Рыбалко.
В феврале 2020 года сразу пять таких уязвимостей устранила компания Cisco: discovery-протокол CDP давал злоумышленникам удалённый доступ к IP-телефонам и маршрутизаторам, но только из локальной сети.
«Мы работаем с MikroTik над возможным решением проблемы», — рассказали vc.ru в Qrator Labs, не уточняя, о какой именно проблеме идёт речь и не раскрывая подробностей сотрудничества.
Что рекомендуют эксперты, чтобы защититься от ботнетов
- К маршрутизатору и IoT-устройствам установить надёжные пароли и время от времени менять их.
- Отключить discovery-сервисы, которые созданы для упрощённой настройки роутеров: они передают в интернет информацию о версии операционной системы и другие данные. Во многих устройствах (например, MikroTik, Cisco) эти сервисы активны по умолчанию.
- Включить встроенный в маршрутизатор фаервол и следить за тем, чтобы свободный доступ к устройству из интернета был исключён.
- Обновить прошивку сетевого устройства до последней версии, а если производитель давно не выпускает обновлений, купить новое.
- Не использовать файлы конфигурации, скачанные из интернета, а также настройки со старых устройств, если они совместимы с новыми.
- Проводить регулярные проверки сети компании с помощью систем анализа трафика. Даже самое дорогое и надёжное оборудование при отсутствии администрирования и контроля не может гарантировать защиты данных.