Как слить с зараженного роутера дамп прошивки?

dlink, прошивка, роутер, руткит, сертификат

0

4

DSL-2600U

Роутер заражен какой-то заразой. Подменяет сертификаты для андрод телефонов по вай-фай. Хочется ее изучить. Как слить? Есть контроль над роутером, но разбирать и паять не могу. SSH пароль не подходит почему-то, а в веб-интерфейс зайти могу.

Провайдер Ростелеком, маловероятно, что он меняет сертификаты. Ради эксперимента, попросил друга проверить на своем оборудовании подключении.

Подменяются не только сертификаты, лезут банеры с порнухой и предлагается скачать вирусню. При переключении на 3G все сразу пропадает.

Именно ssh, специально включил в настройках и выбрал в putty ssh. Коннект есть, но пароль не подходит.

В настройках роутера в веб-интерфейсе все чики-пуки. Никаких левых настроек. Очевиден инжект руткита через уязвимость.

Ссылка

←	Игры как произведение искусства.

Про смайлики

→

Провайдер Ростелеком, маловероятно, что он меняет сертификаты.

Смотря для каких сайтов. Ростелеком так уже делал.

Deleted
(25.02.15 22:56:10 MSK)

Ищи уязвимость, которой рутанули. Ну и ССЗБ, что юзаешь сток.

ncrmnt ★★★★★
(25.02.15 23:09:25 MSK)

маловероятно

сейчас наверное уже почти у всех MITM, а эти вообще первые были.

Например, у меня не открывается https://www.sankakucomplex.com/ я не знаю, нормально ли это.

Хоть это и похоже на заражённый роутер, но без него симптомы те же? (:

wakuwaku ★★★★
(25.02.15 23:16:12 MSK)

Ответ на: комментарий от ncrmnt 25.02.15 23:09:25 MSK

Роутер не мой, прошивка не сток, а обновленный сток.

Jedi-to-be ★★★★
(25.02.15 23:17:44 MSK) автор топика

Ответ на: комментарий от wakuwaku 25.02.15 23:16:12 MSK

Например, у меня не открывается https://www.sankakucomplex.com/ я не знаю, нормально ли это.

Нормально, у меня тоже не открывается.

petyanamlt ★★★★
(25.02.15 23:21:13 MSK)

Ответ на: комментарий от Deleted 25.02.15 22:56:10 MSK

Ростелеком так уже делал.

Порнуху он на телефон тоже предлагает скачать?

Jedi-to-be ★★★★
(25.02.15 23:23:57 MSK) автор топика

Ссылка

Ответ на: комментарий от ncrmnt 25.02.15 23:09:25 MSK

Ищи уязвимость, которой рутанули

Удавиваю.

Хотя, если вирусняк сделает апдейт — то, наверное, только подпаиваясь

derlafff ★★★★★
(25.02.15 23:25:58 MSK)

Ответ на: комментарий от petyanamlt 25.02.15 23:21:13 MSK

из германии открывается, ну и:

It's just you. https://www.sankakucomplex.com is up.

fjfalcon ★★★
(25.02.15 23:27:21 MSK)

Ответ на: комментарий от derlafff 25.02.15 23:25:58 MSK

какой дружелюбный вирус. Взял, дырку закрыл.

fjfalcon ★★★
(25.02.15 23:28:05 MSK)

Через UART ?

~~Jopich~~
(25.02.15 23:50:51 MSK)

Ответ на: комментарий от Jopich 25.02.15 23:50:51 MSK

нужно разбирать?

Jedi-to-be ★★★★
(26.02.15 00:00:17 MSK) автор топика

Ответ на: комментарий от Jedi-to-be 26.02.15 00:00:17 MSK

Обязательно! Флеш можно слить, похоже там spi флешка восьминогая. Я это делал при помощи raspberry pi/

nighthawk ★
(26.02.15 00:09:34 MSK)

Ответ на: комментарий от wakuwaku 25.02.15 23:16:12 MSK

Русбубликом заблокировал Санкаку уже давно. На самом же Санкаку потом об этом писали :)

Deleted
(26.02.15 00:09:59 MSK)

Проверь по проводу «напрямую», изображая браузеры для андроида

cvs-255 ★★★★★
(26.02.15 00:13:53 MSK)
Последнее исправление: cvs-255 26.02.15 00:14:13 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 26.02.15 00:09:59 MSK

Да, я знаю. у меня открывается, но нужно принять левый сертификат, чего делать не хочется.

wakuwaku ★★★★
(26.02.15 00:16:18 MSK)

Ссылка

Ответ на: комментарий от cvs-255 26.02.15 00:13:53 MSK

Я не так всемогущ, подсказывай сразу конкретный способ подмены юзерагента и конкретно какой прописывать.

Jedi-to-be ★★★★
(26.02.15 00:16:32 MSK) автор топика

Ответ на: комментарий от Jedi-to-be 26.02.15 00:16:32 MSK

Если подумать, то это не может зависеть от юзерагента. MitM не может сперва изобразить из себя сервер, к которому идет запрос, посмотреть UA, а затем, если не-андроид, то «вернуть все как было».

Т.е. подмена сертификата будет в любом случае. Так что проверяй с компа без роутера.

cvs-255 ★★★★★
(26.02.15 00:18:56 MSK)

Ответ на: комментарий от cvs-255 26.02.15 00:18:56 MSK

Это ADSL, без роутера никак. Фишка проявляется только на дефолтном браузере андроида.

Jedi-to-be ★★★★
(26.02.15 00:22:26 MSK) автор топика

Ответ на: комментарий от Jedi-to-be 26.02.15 00:22:26 MSK

На некоторых длинках, если зажать после запуска резет секунд на 30-40, то не запускается нормальная прошивка, а флешка затирается, и запускается интерфейс заливки новой прошивки.

cvs-255 ★★★★★
(26.02.15 00:27:42 MSK)

Ответ на: комментарий от cvs-255 26.02.15 00:27:42 MSK

Я перешить его могу. Мне заразу интересно посмотреть.

Jedi-to-be ★★★★
(26.02.15 00:29:07 MSK) автор топика

Ответ на: комментарий от Jedi-to-be 26.02.15 00:22:26 MSK

И сравни fingerprint сертификата сайта через какой другой браузер, с заведомо известным.

cvs-255 ★★★★★
(26.02.15 00:29:15 MSK)

Ссылка

Ответ на: комментарий от Jedi-to-be 26.02.15 00:29:07 MSK

Подпаиваешься к UART, после чего, если возможно, сливаешь прошивку по tftp. Если есть возможность выпаять флешку, и она с SPI интерфейсом, то все совсем просто - выпаиваешь, на компе загружаешь драйвер LPT SPI bitbang (емнип, есть такой в ванильном ядре, если нет, то можешь из юзерспейса дергать /dev/parport0), подключаешь флешку к соотв контактам lpt порта, и читаешь.

cvs-255 ★★★★★
(26.02.15 00:29:54 MSK)
Последнее исправление: cvs-255 26.02.15 00:32:21 MSK (всего исправлений: 3)

Ссылка

Ответ на: комментарий от Jedi-to-be 26.02.15 00:22:26 MSK

Другой роутер попробуй

Alsvartr ★★★★★
(26.02.15 00:30:58 MSK)

Ссылка

Хочется ее изучить

Вот что за интерес в говне копаться.

crowbar ★
(26.02.15 00:31:43 MSK)

Ответ на: комментарий от fjfalcon 25.02.15 23:28:05 MSK

какой дружелюбный вирус. Взял, дырку закрыл.

Обычная практика, защита от конкурентов.

mandala ★★★★★
(26.02.15 00:40:00 MSK)

Ссылка

Ответ на: комментарий от crowbar 26.02.15 00:31:43 MSK

Вот что за интерес в говне копаться.

Ни фига ты не исследователь.

mandala ★★★★★
(26.02.15 00:41:21 MSK)

Ссылка

Ответ на: комментарий от fjfalcon 25.02.15 23:27:21 MSK

It's just you. https://www.sankakucomplex.com is up.

А у меня даже через прокси не хочет.

petyanamlt ★★★★
(26.02.15 01:01:36 MSK)

Ответ на: комментарий от petyanamlt 26.02.15 01:01:36 MSK

Web server is down
The web server is not returning a connection. As a result, the web page is not displaying.
Ray ID: 1be7583c36dd0461 Your IP address: 107.150.11.192 Error reference number: 521 CloudFlare Location: Frankfurt

Через проксю левую. А что там должно быть?

Web server is down
The web server is not returning a connection. As a result, the web page is not displaying.
Ray ID: 1be75b6f0d9616d0 Your IP address: 213.87.130.34 Error reference number: 521 CloudFlare Location: Stockholm

А это без проксей, опсос МО.

mandala ★★★★★
(26.02.15 01:34:14 MSK)

Ссылка

Ответ на: комментарий от nighthawk 26.02.15 00:09:34 MSK

сложно. Там через uart при загрузке можно в сервисное меню зайти и все слить прямо на ПК без подключения к флеше.

aiqu6Ait ★★★★
(26.02.15 07:32:41 MSK)

Ссылка

Ответ на: комментарий от wakuwaku 25.02.15 23:16:12 MSK

Он есть в списках. Уже давно. С более подробным списком можешь ознакомиться тут

anonymous_sama ★★★★★
(26.02.15 07:43:31 MSK)

Ответ на: комментарий от anonymous_sama 26.02.15 07:43:31 MSK

Это что же, мой провайдер осилил блокировку? Хм, ну ладно, у меня нет никакой нужды в перечисленных там ресурсах, однако теперь я чувствую свои права ущемлёнными.

wakuwaku ★★★★
(26.02.15 10:01:17 MSK)

Ответ на: комментарий от wakuwaku 26.02.15 10:01:17 MSK

Твой провайдер в любом случае должен был осилить блокировку. В первый раз предупреждение и штраф, а во второй отбирают лицензию.

anonymous_sama ★★★★★
(26.02.15 10:08:38 MSK)

Ответ на: комментарий от anonymous_sama 26.02.15 10:08:38 MSK

Раньше она была на уровне днс. Что-то большее лишено смысла. Это ведь злонамеренный перехват трафика, хотя тут можно вспомнить провайдеров, вставляющих свой рекламный фрейм.

wakuwaku ★★★★
(26.02.15 10:23:50 MSK)