JIT SPRAY АНАЛИЗ TDSS - Xakep Online

Заголовок файловой системы
PORT STATE SERVICE
53/udp open
domain
67/udp open|filtered dhcps
69/udp open|filtered tftp
MAC Address: 00:26:5A:74:70:79 (D-Link)
Чутье не обмануло — сразу бросается в глаза tftp; уверен, что он используется
для прошивки, но не будем спешить, убедимся в этом позже.
Приступаем к сбору информации касательно строения операционной
системы и телнетимся к роутеру:
$ telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
BCM96332 ADSL Router
Login: admin
Password: admin
Нет уже родного мне приветствия BusyBox, только это приветствие
немного отличалось. Через несколько мгновений до меня дошло,
что BCM — это Broadcom! А далее в названии идет тип платы
(чипа), на которой построен маршрутизатор. Изначально я опешил
— shell урезан до безобразия... Сделано это, вероятно, для того,
чтобы такие как мы не лазили где не надо, но ведь, с другой стороны,
такие как мы пролезут везде. Команды cd, ls или dir напрочь
отсутствуют, структуру каталогов не узнаешь. Однако, в help`e вдруг
засветился echo — он может выводить список файлов/директорий,
правда, без обозначения, где что (директория/файл/символическая
ссылка) находится, то есть будут выведены лишь имена объектов.
Замену ls нашли, а где же брать cd? В это время один из тараканов
в моей голове подсказал набрать sh, и... бинго! Появилось знакомое
приветствие BusyBox, и, мигом введя команду help, в выводе
я обнаружил потерянный cd! Совсем неясно, для чего сделано это
безобразие — 2 shell'а... Но теперь все готово, и, с горем пополам,
наконец-то можно приступить к сбору информации. Для начала
осмотримся:
# echo *
bin dev etc lib linuxrc mnt proc sbin usr var webs
Все стандартно, за исключением linuxrc (как оказалось позже, это
BusyBox) и webs (в этой директории содержатся файлы, относящиеся к
веб-интерфейсу). Узнаем версию GNU\Linux:
# cat /proc/version
Linux version 2.6.8.1 (jenny@BS5) (gcc version 3.4.2)
#1 Wed Mar 4 21:10:17 CST 2009
VERSION=RU_1.50
BCM_VERSION=3.10L.01.
Revision=5317
FSSTAMP=20090304211235
При автоматическом заражении обязательно требуется проверять этот
файл на соответствие версий, и при каких-либо отличиях прекращать
инфицирование, иначе роутер может зависнуть, и получится «ни себе,
ни людям». На официальном FTP-сервере лежит несколько вариантов
прошивок для модели 2500U, каждая соответствует нужной версии
аппаратного обеспечения.
Следующее действие — просмотр информации об архитектуре:
# cat /proc/cpuinfo
system type : 96332
processor : 0
cpu model : BCM6338 V1.0
BogoMIPS : 239.20
wait instruction : no
microsecond timers : yes
tlb_entries : 32
extra interrupt vector : yes
hardware watchpoint : no
unaligned access : 8407352
VCED exceptions
: not available
VCEI exceptions
: not available
Как мы видим, роутер построен на плате Broadcom 96338. Ее используют
множество производителей: Netgear, Asus и т.п., но с мелкими
изменениями в программном обеспечении (например, у одного из
производителей вместо веб-интерфейса панель управления находится
в shell'e, но это совсем не страшно, так как нормальный shell остался),
так что описанное здесь можно применить и к другим моделям. Построена
эта плата на процессоре 280D MIPS, с тактовой частотой более
200MHz (впрочем, это зависит от вольтажа). Сведения о памяти:
# cat /proc/mounts
rootfs / rootfs rw 0 0
/dev/root / squashfs ro 0 0
/proc /proc proc rw,nodiratime 0 0
tmpfs /var tmpfs rw 0 0
# cat /proc/mtd
dev: size erasesize name
mtd0: 00153000 00001000 "Physically mapped flash"
# cat /proc/meminfo
MemTotal:
6108 kB
MemFree:
428 kB
---8