[CB16] 私のモデムに誰がバックドアを仕掛けたのか? by Ewerson Guimaraes

CONFIDENTIAL

私のモデムに誰がバックドアを仕掛けたの

か ?

Ewerson Guimarães (Crash) / 2016

Yukako Takahashi

Router とあったのですが、タイトル通り「モデム」にしてあります。

CONFIDENTIAL

研究情報

この講演は、 Área31 ハッカースペースで誕生した。

ここに掲載されているすべての情報は公開されている。

誰もハックされなかった（ゴホンゴホン）

Yukako Takahashi

cof cof → ゴホンゴホン

CONFIDENTIAL

エワーソン（クラッシュ）について：

Yukako Takahashi

Crash → ニックネームのようなものではないかと思います。ひとまずクラッシュにしてみました。

CONFIDENTIAL

バックグラウンド…

Yukako Takahashi

Background… → 本題に入る前の前提情報を提供しているのではないかと思います。普通に「バックグラウンド」にしてみました。

CONFIDENTIAL


CONFIDENTIAL


20161018--D2T105-07[E2J]_Ewerson

CONFIDENTIAL

Background...

CONFIDENTIAL

さて、始めよう…

CONFIDENTIAL

バックドア自体については語らないので…

CONFIDENTIAL

これがバックドアだ…

CONFIDENTIAL

ユーザー名は同じだが、ひとつはバックドアのアカウント

CONFIDENTIAL

単一ユーザーをバックドアに変形する…

CONFIDENTIAL

ハードウェアを分析してみよう

CONFIDENTIAL

奇妙な機器

変な ID タグ！

Yukako Takahashi

Strange Device → 奇妙な機器

Yukako Takahashi

Strange ID TAG! → 変なIDタグ！

CONFIDENTIAL

奇妙な機器

この機器は、 ANATEL （ブラジル国家電気通信局）に認可されている

Yukako Takahashi

Brazilian National Telecomunication Agency→ ★Telecommunication のスペルミス発見。

CONFIDENTIAL

奇妙な機器

この機器は、 ANATEL （ブラジル国家電気通信局）に認可されている

Yukako Takahashi

Brazilian National Telecomunication Agency→ ★Telecommunication のスペルミス発見。

CONFIDENTIAL

さらに奇妙なもの…

BayTech:

Yukako Takahashi

★Google Mapsで同じ場所を検索したところ、Baytec とでました。名称大丈夫でしょうか… https://www.google.co.jp/maps/place/Baytec+Tecnologia/@-22.8991525,-43.2496789,17z/data=!4m5!3m4!1s0x997e812d261d03:0x6e05e3cf0b46df34!8m2!3d-22.8991575!4d-43.2474848?hl=en

CONFIDENTIAL

BayTech:

18

CONFIDENTIAL


S&T Technology (Shenzhen) Co., Ltd を探してみると：

Yukako Takahashi

S&T Technology Shen Zhen .Co LTD → そのままS&T Technology (Shenzhen) Co., Ltdにしてみました。深センSPARK光電科技会社を指してるのかと思いますが…

CONFIDENTIAL


デバイスマネージャで Observa Telecom を見つけることはできるが…

ベンダーの Web サイトは存在するが、単一の商標のみのブランクページで、マニュアル、サポート、ファームウェアといった他のエリアへのリンクが無い。

CONFIDENTIAL


もちろん、 E メール（ 11 通）の応答なし…

Yukako Takahashi

he didn't reply (11)emails... → 彼とは勿論「Observa Telecom」の人のことだと思いますが、省略してみました。

CONFIDENTIAL


この機器は、 GVT （グローバル・ヴィレッジ・テレコム）によって流通している。 GVT のテクニカルサポートとサイトによれば、このモデム／ルーターをサポートしていないとのこと。

信じられない？以下のサイトを見てほしい： http://www.gvt.com.br/PortalGVT/Atendimento/Area-Aberta/Documentos/Lista-de-Modens

CONFIDENTIAL


そのファームウェアをバイナリエディタで開いてみると… おっと待て、作ったのは TPLINK だって？？？？？？

CONFIDENTIAL


バックドアパスワード： MAC アドレスの最後の 2 つの 8 ビット＋ airocon の文字列

CONFIDENTIAL


Airocon とは？

25

CONFIDENTIAL


Airocon とは？

CONFIDENTIAL


最後のアクセス可能なサイト（ 2005 年 3 月 )

CONFIDENTIAL


このタグ ID と Anatel のシール、覚えている？

28

Bingo! 41C3

CONFIDENTIAL

… そして、この奇妙な部分に片を付けるには…

ハードウェアベンダー： Realtek

Yukako Takahashi

...and to finish this strange part... → …そして、この奇妙な部分に片を付けるには… と訳してみました。

CONFIDENTIAL

バックドアの内部は…

通常のシステム管理ユーザーでログイン ( admin:gtv12345)

コマンド "sh" と "login show" は使えない。

CONFIDENTIAL

バックドアの内部は…バックドアアカウントでログインした場合：

CONFIDENTIAL


"login show" コマンドは、（ Web インタフェース上に隠れている）バックドアアカウントを表示する

CONFIDENTIAL

バックドアの内部は…機器のメモリをさらによく見てみることで、いくつかの興味深い情報を見つけることができた：

中国企業へのリダイレクトリンク：

リセットした後でさえ、この機器の前回のユーザー名を取得できた：

機器は、隣接ネットワーク名を保存する：

CONFIDENTIAL


GVT のクレデンシャル・サービスに関する極秘データ :

CONFIDENTIAL


その上、バックドアユーザー用のシステム管理ページは、通常のシステム管理ページとは完全に異なる。

CONFIDENTIAL


工場出荷時の初期パスワードは、以下とは異なる： admin:admin admin:12345 admin:

工場出荷状態へのリセットはできる！しかしパスワードは変わらない： admin:gvt12345

CONFIDENTIAL

バックドアの外側は…

Shodan が友達であろうとなかろうと…

機器はインターネットに晒されている：おおよそ 5600

Yukako Takahashi

★Divice exposed in internet: → Device のスペルミス発見。

CONFIDENTIAL

小さな Shell スクリプト：

root@anubis:~# ./gvtfucker.shGVT RTN04 F*cker

Testing:177.206.29.204Backdoor password: airocon2533Testing:179.179.72.251Testing:189.113.134.199Backdoor password: airocon0E6BTesting:186.213.233.192Testing:186.215.19.197Testing:189.113.136.93Backdoor password: airoconCE4ATesting:189.113.138.111Testing:189.113.137.203Testing:189.26.50.164Testing:189.58.16.44Testing:191.248.83.225Testing:177.132.241.119Backdoor password: airocon02CCTesting:177.156.255.85Testing:177.156.36.116Backdoor password: airoconFA1ETesting:177.157.166.210Testing:187.59.45.9Testing:189.113.131.161Testing:189.113.131.197Testing:189.113.134.226Testing:189.113.137.32Testing:189.113.138.111Backdoor password: airoconDA32

CONFIDENTIAL


CONFIDENTIAL


CONFIDENTIAL

また内部へ

CONFIDENTIAL

更新情報…

約 1 年後、 Observa のサイトが更新された。

CONFIDENTIAL

更新情報…

約 1 年後、 Observa のサイトが更新された。

CONFIDENTIAL

更新情報…

私は再びコンタクトを試みた…

Yukako Takahashi

★I tryed another contact... → I tried のスペスミス発見。

CONFIDENTIAL

修正方法

バックドアのフラグを変更し、ファイルをアップロードをするが、工場出荷状態へのリセットは絶対しない。

または／そして、

もちろん、リモートアクセスを無効にする。ファームウェアをハックする

CONFIDENTIAL

考察

自分の機器を検査する！

自分の機器を燃やす！

自分の機器をファジングしてめちゃクにする！◯

Yukako Takahashi

FUZZ and F*CK YOUR DEVICES!→ なんて訳そうか非常に悩んだのですが、「自分の機器をファジングしてめちゃク◯にする！」としてみました。

CONFIDENTIAL

そして、黄金の質問：

私のモデムに誰がバックドアを仕掛けたのか ?

Yukako Takahashi

ここもルーターになっていたのですが、タイトルに合わせて「モデム」にしてあります。

CONFIDENTIAL

質問ありますか？

質問の前に、あなたのフルネームを言ってください。お願いします。

CONFIDENTIAL

ご清聴ありがとう

49