backdoor o rootkit en router

Iniciado por bdrk, 28 Abril 2016, 18:51 PM

0 Miembros y 1 Visitante están viendo este tema.

bdrk

buenos dias,

escribía para ver si podías echarme una manita con un problema que se ha producido a través de un juego online para moviles (hobbit: reinos de la tierra media)

parece ser que el problema es bastante común en este juego (o en este tipo de juegos de estrategia multijugador), la gente se dedica a hacer de trileros para ganarse tu confianza, y tras ganársela fuerzan un poco la tuerca para que acabes buscando información de la persona en cuestión, a través de internet.

el asunto es que hace unos meses fuí a parar a un página que mostraba suculentamente los datos personales de un jugador, y a raiz de la visita a esa página, he estado notando demasiada información personal que se encuentra en mi pc, reflejada en ese juego, e información que por supuesto no he compartido con nadie... el problema es que la página ha desaparecido de internet con lo que obviamente da que pensar que podía contener un backdoor (o un rootkt o cualquier otro tipo de malware), y una vez picado el anzuelo, se borro el rastro de ella...

el problema es que la información personal que se mostraba es la correspondiente a una persona que ha estado trabajando en informatica, internet y telecomunicaciones durante 15 años, con lo que no deja lugar a dudas... :-(


mi pregunta sería ver hasta que punto el script que hubiera en la página puede afectar al router, o solo al pc en cuestión que navegó por esa página

a juzgar por otros hechos que puedan estar relacionados, me da que el problema estaría dentro de un router zyxel de "timofónica", y que esta afectando a varios de los dispositivos que se conectan a él (tanto pc´s como móviles)

como la gente de este juego tiene una discreción mínima, se me plantea la duda de si han usado Kali de linux para ello (ya que curiosamente después de haber visitado la página apareció un personaje llamado Kali)

En el pc en cuestion he probado a pasar el avast intenet security, pero no me detecta nada... he probado con el spyhunter y malwarebites y tampoco me han detectado nada... probaré con mas programas como el spyboot search and destroy, pero lo haré vía usb desde otro pc que este actualizado para evitar que se pueda conectar esa maquina a internet, ya que cada vez que la conecto deben de estar alerta los que esten detras y se tiran como pirañas (hecho que he podido constatar en varias ocasiones ya que usando un sniffer y grabando la pantalla con camstasia para ver si hay cortes en la linea, he comprobado que ambas a dos cosas las han descubierto, y siempre se acaba reiniciando el pc de forma autonoma siendo imposible guardar cualquier tipo de registro)

Siendo mas que obvio que tengo la linea hackeada, mi duda es ver si se puede hacer algun tipo de verificación en el router sin necesidad de recurrir al portal alejandra (por aquello de seguir teniendo el soporte remoto por parte de timofónica)

por otro lado, he probado con un programa llamado "tuluka" para hacer un escaneo en el pc, pero por el momento solo ha encontrado archivos aswSnx.sys que por lo que he podido ver estan relacionados con el avast, a pesar de que los detecte como sospechoso... ¿estan todos relacionados con el avast realmente?


y también si podeis ayudar con esta duda, aunque esta relacionado pero en este caso es dispositivo Android, ¿alguien sabe como se puede evitar el hackeo una vez realizado?

que tenga el movil hackeado es una obviedad, lo que no se es si el hackeo de la linea de adsl puede influir tambien en la vulnerabilidad del telefono


muchas gracias de antemano

un saludo

bdrk


AlbertoBSD

Cita de: bdrk en  9 Mayo 2016, 12:53 PM
nadie sabe...???

Tal nadie se a dado tiempo de leer tu post completo.

Hablas de varios temas y veo solo una pregunta algo vaga.

Sobre tu problema, si es posible que tengas algo en tu PC o Router la ley de murphy predice eso... :xD.

Sin embargo lo Dudo a no ser que seas algun activista politico.

Tendrias que ser el objetivo de alguien para que te rookiteen el router o el PC.

Estas algo paranoico creo.
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

bdrk

gracias por la respuesta AlbertoBSD,

en un principio la cosa de estar paranoico lo descartamos, ya que no soy el primero en este juego al que le pasa lo mismo

en segundo lugar, es muy curioso pensar que es paranoia (respesta muy simple cuando no se entienden las cosas), cuando hay muchas referencias constatadas y que no son meras coincidencias

en tercer lugar, no hace falta ser activista politico, simplemente la gente se aburre mucho en sus vidas, y se dedica a putear de esa forma (y más cuando meses atras es capaz de lanzar amenazas, mientras usa a un amigo suyo para hacer de trilero, para ganarse tu confianza y hacer que la cosa acabe derivando en visitar esa página)

por no decir que es muy curioso que en su momento hubiera una pagina en internet que mostrara tanto el numero de telefono movil y nombre de cierta persona en letras bien grandes (a modo de reclamo muy llamativo), que curiosamente ha estado involucrado en temas informaticos y de telecomunicaciones durante 15 años segun muestra su propio CV, y que justo a partir de empezar a ver datos personales reflejados en ese juego, la pagina desapareció sin dejar rastro (salvo logicamente el rastro que ha dejado en el ISP)

por no decir que en ese juego se pueden encontrar jugadores con el nombre de "hydra" como sabras, una herramienta de linux para reventar passwords de routers, o el nombre de "kali" otra distro de linux para hackeos de lineas de telecomunicaciones

entonces, dejando de lado la respuesta poco consistente de "estas paranoico", mi pregunta era, ver como se puede ver si hay un backdoor, un rootkit o cualquier otro tipo de programa que de acceso a los pcs de mi casa, ya que es curioso ver como los datos sustraidos fueron del ordenador en cuestion que visito la pagina, aunque lo extraño es ver como en el pc en el que ando actualmente tambien se puede seguir viendo una actitud muy sospechosa, que no da lugar a ningun tipo de paranoia, no te preocupes que no soy tan ñoño ;-)

en conclusión, ahora la pregunta se divide en dos, la primera ¿como se puede analizar el router para ver que tipo de hack tiene? y la segunda, ¿si una vez dentro del pc pueden meter otro hack directo a cualquier maquina que este conectado a ese router, para asi en caso de cambiar el router, poder seguir accediendo al pc, y volver a retroceder metiendo un hack en el router nuevo?

por lo que he visto, hacer un simple reset en el router no da resultado, ya que he probado y la cosa sigue igual... ¿necesitaria un 30/30/30 con una nueva instalacion de firmware como he podido leer por ahi?

y ¿en caso de que hayan pasado el root al pc como podría detectarlo?

gracias de antemano a cualquiera que sea capaz de responder algo coherente y maduro

un saludo

AlbertoBSD

Ok, descartado no estas paranoico, lo siento pero esa era la impresión.

Para saber si el router tiene algo habría que hacer un DUMP del firmware y analizarlo con IDA.

Otra opción es... Instalar un IDS entre tu conexión de Internet y el router y asi poder analizar todo el trafico que pasa por la red.

Y si, si es posible que si lograron comprometer el router puedan comprometer cualquier PC en la red Interna.

Se puede detectar el root también analizando el trafico de red.

En caso contrario necesitas Arrancar el equipo desde algun Sistema Linux y analizar manualmente ya deben de existir algunos scripts que hagan el trabajo pesado.

La siguiente lectura tiene un ejemplo muy similar a lo que cuentas, pero lo usaron para atacar con éxito a un equipo de hackers y funciono, la falla fue un Router, el que ataco a los hacker hizo su propio exploit/firmware para el router en cuestion.

http://pastebin.com/raw/0SNSvyjJ

Noticia relacionada:
http://arstechnica.co.uk/security/2016/04/how-hacking-team-got-hacked-phineas-phisher/

Saludos!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

AlbertoBSD

Sobre lo del Dump del firmware es muy variado. Depende de la marca y modelo. hay vecs que se puede  hacer mediante software y otras se nesita intervencion electronica.

Adicional podrias bajar el archivo de configuración a ver si hay alguna pista ahi.

Sobre el script que comentas no lo conozco.
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

Hason

Yo tengo el router con el firmware modificado y no puedo instalarle el original de ninguna manera, me da errores imput output, o simplemente no deja, ni con root, ni ftp ni telnet ni nada, y si conecto un router nuevo al pc, se contagia  con el firmware malo....


Puedes extraer el firmware y compararlo con el del fabricante con hex comparer y verás si cambia.

Tambien puedes analizar el firmware en virus total, todos los firmwares no los coge creo.

Yo en mi caso , lo tengo en el firmware del pc.
Puedes detectarlo con muchas herramientas:

https://01.org/linux-uefi-validation

CHKROOTKIT con el comando -x no recuerdo exactamente, te tira mucha información desde linux.

http://www.rootkitanalytics.com/


Con tuluka y kernel inspector de windows.


Con gmer antirootkit, si te reinicia o da error, corre un xp, y pasale el gmer , verás que detecta cosas, mejor el xp live con hirens por ejemplo, si hago esto me detecta rootkit, pero si no , se reinicia y da error gmer.

Pasale el avast mbr haber que pilla.


No se ahora mismo no recuerdo más cosas, pero hay más.

Haber si sabes que tienes y puedes limpiarlo.

Un saludo.

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/