家用路由器安全.pdfVIP

家用路由家用路由由器安全由器安全 黄彩洪 2014年5月29 日 1.背景 2.现有常见安全问题 3.实例（ CNVD-2013-155013 ）深入分析 44.危害性危害性 （（演示演示）） 55.针对用户和厂商的建议针对用户和厂商的建议议议 66.总结总结 背景 • 每个家庭需要一个路由器让平板手手机电脑同时上网 • 路由器在今天扮演的角色越来越重重要 •• 路由器是网络流量的必经之路路由器是网络流量的必经之路 • 路由器可以说是“兵家必争之地”” • 众多互联网大佬推出了自己的路由由器 腾讯腾讯、百度都推出了自己的路由器百度都推出了自己的路由器器器 小米、迅雷等公司也推出了有自己特色的路由器 360安全路由器 极路由公司智能极路由公司智能路由器路由器 现有常见安全问题———症状 • 无缘无故地出现奇怪的广告 • 密码被盗、微博账号被黑 • Wifi密码定期修改，还是有不明设设备能连接到路由器 •• 恢复出厂设置并关掉无线还出现恢复出厂设置并关掉无线还出现现问题现问题 现有常见安全问题———原因 • DNS被劫持（Hijack） • 黑客进入局域网后进行arp欺骗等等攻击 • 路由器开了WPS ((Wi‐Fi Protected Setup)p)功能，ppin码可推导 •• 路由器有安全漏洞或被植入了木路由器有安全漏洞或被植入了木木马木马 现有常见安全问题———路由器漏洞后门 现有常见安全问题———路由器漏洞后门 现有常见安全问题———路由器漏洞后门 现有常见安全问题———路由器漏洞后门 现有常见安全问题———路由器漏洞后门 实例深入分析——R63300等路由器后 • 网件（NetGear）R6300等多款路路由器存在后门，黑客可以通过这 个后门个后门，获取到路由器的获取到路由器的root shell • 黑客能植入木马完全控制用户的的路由器。或修改dns设置进行钓 鱼鱼，使用户访问网上银行时使用户访问网上银行时，进进进入钓鱼网站进入钓鱼网站，而引起财产而引起财产损失损失 • 路由器运行着telnetenabled进程，，该进程监听着23号端口，但对 应的并不是telnet服务 •• 把对应的把对应的elfelf文件拖到文件拖到idaida propro分析分析 实例深入分析——R63300等路由器后门 实例深入分析——R63300等路由器后 • telnetenabled 的main函数调用了函函数sub_8BB0，函数sub_8BB0绑 定了定了23号端号端口监听监听 • 它接收用户发送过来的不大于0xx640字节的数据后，传给了 CheckPayloadCheckPayload函数函数 • CheckPayyload函数根据用户发送来来的数据来进行判断而返回相应 的值 •• CheckPayloadCheckPayload函数返回函数返回11的话的话，它它它会启动新进程它会启动新进程 “utelnetdutelnetd –dd –ii br0br0” 实例深入分析——R63300等路由器后 • 新进程“utelnetd –d –i br0”是teelnet的服务端进程 • 只要该进程启动，就可以通过telnet来得到路由器的root shell，不 需要任何认证需要任何认证 • CheckPayyload函数是关键，如何能能让CheckPayyload函数返回1？ 实例深入分析——R63300等路由器后门 实例深入分析——R63300等路由器后门 实例深入分析——R63300等路由器后 • CheckPayload函数把用户发送过来来的数据认为是经过Blowfish算法 加密过的下面的结构体加密过的下面的结构体 struct payload {{ char signature[0x10]; char mac[0x10]; char username[0x10]; char password[0x10]; char reserved[[0x40];]; }; 实例深入分析——R63300等路由器后 • 解密后进行MD5的hash （payloadd.signature），MAC地址，用户名 和密码的和密码的比较较 • 如果用户名和密码分别