CONFIDENTIAL
私のモデムに誰がバックドアを仕掛けたの
か ?
Ewerson Guimarães (Crash) / 2016
Yukako Takahashi
Router とあったのですが、タイトル通り「モデム」にしてあります。
CONFIDENTIAL
研究情報
この講演は、 Área31 ハッカースペースで誕生した。
ここに掲載されているすべての情報は公開されている。
誰もハックされなかった(ゴホンゴホン)
Yukako Takahashi
cof cof → ゴホンゴホン
CONFIDENTIAL
エワーソン(クラッシュ)について:
Yukako Takahashi
Crash → ニックネームのようなものではないかと思います。ひとまずクラッシュにしてみました。
CONFIDENTIAL
バックグラウンド…
Yukako Takahashi
Background… → 本題に入る前の前提情報を提供しているのではないかと思います。普通に「バックグラウンド」にしてみました。
CONFIDENTIAL
バックグラウンド…
CONFIDENTIAL
バックグラウンド…
20161018--D2T105-07[E2J]_Ewerson
CONFIDENTIAL
Background...
CONFIDENTIAL
さて、始めよう…
CONFIDENTIAL
バックドア自体については語らないので…
CONFIDENTIAL
これがバックドアだ…
CONFIDENTIAL
ユーザー名は同じだが、ひとつはバックドアのアカウント
CONFIDENTIAL
単一ユーザーをバックドアに変形する…
CONFIDENTIAL
ハードウェアを分析してみよう
CONFIDENTIAL
奇妙な機器
変な ID タグ!
Yukako Takahashi
Strange Device → 奇妙な機器
Yukako Takahashi
Strange ID TAG! → 変なIDタグ!
CONFIDENTIAL
奇妙な機器
この機器は、 ANATEL (ブラジル国家電気通信局)に認可されている
Yukako Takahashi
Brazilian National Telecomunication Agency→ ★Telecommunication のスペルミス発見。
CONFIDENTIAL
奇妙な機器
この機器は、 ANATEL (ブラジル国家電気通信局)に認可されている
Yukako Takahashi
Brazilian National Telecomunication Agency→ ★Telecommunication のスペルミス発見。
CONFIDENTIAL
さらに奇妙なもの…
BayTech:
Yukako Takahashi
★Google Mapsで同じ場所を検索したところ、Baytec とでました。名称大丈夫でしょうか… https://www.google.co.jp/maps/place/Baytec+Tecnologia/@-22.8991525,-43.2496789,17z/data=!4m5!3m4!1s0x997e812d261d03:0x6e05e3cf0b46df34!8m2!3d-22.8991575!4d-43.2474848?hl=en
CONFIDENTIAL
BayTech:
18
CONFIDENTIAL
さらに奇妙なもの…
S&T Technology (Shenzhen) Co., Ltd を探してみると:
Yukako Takahashi
S&T Technology Shen Zhen .Co LTD → そのままS&T Technology (Shenzhen) Co., Ltdにしてみました。深センSPARK光電科技会社を指してるのかと思いますが…
CONFIDENTIAL
さらに奇妙なもの…
デバイスマネージャで Observa Telecom を見つけることはできるが…
ベンダーの Web サイトは存在するが、単一の商標のみのブランクページで、マニュアル、サポート、ファームウェアといった他のエリアへのリンクが無い。
CONFIDENTIAL
さらに奇妙なもの…
もちろん、 E メール( 11 通)の応答なし…
Yukako Takahashi
he didn't reply (11)emails... → 彼とは勿論「Observa Telecom」の人のことだと思いますが、省略してみました。
CONFIDENTIAL
さらに奇妙なもの…
この機器は、 GVT (グローバル・ヴィレッジ・テレコム)によって流通している。 GVT のテクニカルサポートとサイトによれば、このモデム/ルーターをサポートしていないとのこと。
信じられない? 以下のサイトを見てほしい: http://www.gvt.com.br/PortalGVT/Atendimento/Area-Aberta/Documentos/Lista-de-Modens
CONFIDENTIAL
さらに奇妙なもの…
そのファームウェアをバイナリエディタで開いてみると… おっと待て、作ったのは TPLINK だって??????
CONFIDENTIAL
さらに奇妙なもの…
バックドアパスワード: MAC アドレスの最後の 2 つの 8 ビット + airocon の文字列
CONFIDENTIAL
さらに奇妙なもの…
Airocon とは?
25
CONFIDENTIAL
さらに奇妙なもの…
Airocon とは?
CONFIDENTIAL
さらに奇妙なもの…
最後のアクセス可能なサイト( 2005 年 3 月 )
CONFIDENTIAL
さらに奇妙なもの…
このタグ ID と Anatel のシール、覚えている?
28
Bingo! 41C3
CONFIDENTIAL
… そして、この奇妙な部分に片を付けるには…
ハードウェアベンダー: Realtek
Yukako Takahashi
...and to finish this strange part... → …そして、この奇妙な部分に片を付けるには… と訳してみました。
CONFIDENTIAL
バックドアの内部は…
通常のシステム管理ユーザーでログイン ( admin:gtv12345)
コマンド "sh" と "login show" は使えない。
CONFIDENTIAL
バックドアの内部は…バックドアアカウントでログインした場合:
CONFIDENTIAL
バックドアの内部は…
"login show" コマンドは、( Web インタフェース上に隠れている)バックドアアカウントを表示する
CONFIDENTIAL
バックドアの内部は…機器のメモリをさらによく見てみることで、いくつかの興味深い情報を見つけることができた:
中国企業へのリダイレクトリンク:
リセットした後でさえ、この機器の前回のユーザー名を取得できた:
機器は、隣接ネットワーク名を保存する:
CONFIDENTIAL
バックドアの内部は…
GVT のクレデンシャル・サービスに関する極秘データ :
CONFIDENTIAL
バックドアの内部は…
その上、バックドアユーザー用のシステム管理ページは、通常のシステム管理ページとは完全に異なる。
CONFIDENTIAL
バックドアの内部は…
工場出荷時の初期パスワードは、以下とは異なる: admin:admin admin:12345 admin:
工場出荷状態へのリセットはできる!しかしパスワードは変わらない: admin:gvt12345
CONFIDENTIAL
バックドアの外側は…
Shodan が友達であろうとなかろうと…
機器はインターネットに晒されている:おおよそ 5600
Yukako Takahashi
★Divice exposed in internet: → Device のスペルミス発見。
CONFIDENTIAL
小さな Shell スクリプト:
root@anubis:~# ./gvtfucker.shGVT RTN04 F*cker
Testing:177.206.29.204Backdoor password: airocon2533Testing:179.179.72.251Testing:189.113.134.199Backdoor password: airocon0E6BTesting:186.213.233.192Testing:186.215.19.197Testing:189.113.136.93Backdoor password: airoconCE4ATesting:189.113.138.111Testing:189.113.137.203Testing:189.26.50.164Testing:189.58.16.44Testing:191.248.83.225Testing:177.132.241.119Backdoor password: airocon02CCTesting:177.156.255.85Testing:177.156.36.116Backdoor password: airoconFA1ETesting:177.157.166.210Testing:187.59.45.9Testing:189.113.131.161Testing:189.113.131.197Testing:189.113.134.226Testing:189.113.137.32Testing:189.113.138.111Backdoor password: airoconDA32
CONFIDENTIAL
バックドアの外側は…
CONFIDENTIAL
バックドアの外側は…
CONFIDENTIAL
また内部へ
CONFIDENTIAL
更新情報…
約 1 年後、 Observa のサイトが更新された。
CONFIDENTIAL
更新情報…
約 1 年後、 Observa のサイトが更新された。
CONFIDENTIAL
更新情報…
私は再びコンタクトを試みた…
Yukako Takahashi
★I tryed another contact... → I tried のスペスミス発見。
CONFIDENTIAL
修正方法
バックドアのフラグを変更し、ファイルをアップロードをするが、工場出荷状態へのリセットは絶対しない。
または/そして、
もちろん、リモートアクセスを無効にする。ファームウェアをハックする
CONFIDENTIAL
考察
自分の機器を検査する!
自分の機器を燃やす!
自分の機器をファジングしてめちゃク にする!◯
Yukako Takahashi
FUZZ and F*CK YOUR DEVICES!→ なんて訳そうか非常に悩んだのですが、「自分の機器をファジングしてめちゃク◯にする!」としてみました。
CONFIDENTIAL
そして、黄金の質問:
私のモデムに誰がバックドアを仕掛けたのか ?
Yukako Takahashi
ここもルーターになっていたのですが、タイトルに合わせて「モデム」にしてあります。
CONFIDENTIAL
質問ありますか?
質問の前に、あなたのフルネームを言ってください。お願いします。
CONFIDENTIAL
ご清聴ありがとう
49