Kiedyś przeczytałem o tym w internecie, BotNet atakujący routery… wydawało mi się , że jest to totalna bzdura. Okazuje się, że nie! Dziś trafiły w moje ręce trzy zablokowane routery firmy TP-Link i D-Link. Były to modele WR1043ND WR841ND oraz D-Link DIR-615. Wszystkie routery po uruchomieniu działają normalnie, mają nawet SSID i hasło które wybrał sobie użytkownik na FABRYCZNYM SOFCIE! Niestety po wpisaniu 192.168.1.1 pokazuje się strona informacyjna systemu DD-WRT próba logowania zawsze kończy się niepowodzeniem. Router nie odpowiada na przycisk WPS oraz reset, zawsze startuje z wcześniej wybranym SSID-em. Zainfekowany router tworzy dodatkowy SSID którego nie rozgłasza, jest to pnet_XXXXXX, gdzie XXXXXX to koniec adresu MAC interfejsu wifi. Hasło do sieci jest takie samo jak SSID z tym że jest odwrócone czyli: XXXXXX_pnet. Po zalogowaniu na 192.168.1.1 nie musimy podawać hasła ani login-u, mimo to konfiguracja jest nadal zablokowana. Informacje wyświetlane przez router na stronie „STATUS” są FIKCYJNE, klienci którzy masowo łączą się z naszym AP nie istnieją. Po analizie danych przesyłanych przez router wynika że łączy się on z kilkoma różnymi adresami IP, podejrzewam że są nimi inne zainfekowane routery od których dostaje instrukcje. 99% czasu nic się nie działo, ale po około 8h router zaczął wysyłać pakiety UDP na jeden adres IP (w tym wypadku POLSKI!)

Router da się odblokować! Potrzebna do tego jest konsola szeregowa, po jej podłączeniu musimy nadpisać cały firmware. Ja profilaktycznie nadpisałem cały firmware a potem wymieniłem bootloader-a (w moim wypadku redboot) i z poziomu bootloader-a wymieniłem system na prawdziwy DD-WRT.

Osoby które dostarczyły mi router mówiły że ustawiły trudne hasło na WebGUI i nie miały załadowanego DD-WRT tylko oficjalne oprogramowanie. Wygląda na to że wirus używa metody słownikowej lub jakiegoś exploita aby dostać się do routera, po czym wymienia oprogramowanie na zmodyfikowane DD-WRT i tak zmieniony, udaje normalną prace.

Nie da się ani odczytać komend sterujących ani odszukać IP sterujące ponieważ transmisja sterująca przychodzi z różnych adresów IP (podejrzewam że od innych zainfekowanych) a dodatkowo całość jest szyfrowana.

Każdą osobę która posiada tak zablokowany sprzęt zapraszam na forum, bardzo chętnie pomogę w odblokowaniu. Osobą z rejonu miast: Kraków, Katowice, Wrocław jestem w stanie pomóc osobiście.

Aktualnie udało mi się odblokować modele:

TP-Link WR1043ND

TP-Link WR841ND

D-Link DIR-615 A1

Update: Okazuje się że istnieje już nowsza wersja zainfekowanego router-a która po podłączeniu konsoli szeregowej wyświetla obrazek w ASCII:

Zmienił się też ukryty SSID, na sam adres MAC. Niestety nie pasuje wcześniejsze hasła, bez dostępu do konsoli nie da się go odczytać. Od tego momentu jedyny sposób naprawy to JTAG lub wymiana pamięci flash. Dodatkowo nowe oprogramowanie wprowadza reklamy, które wyskakują w zastępstwie strony którą chcemy załadować, ponowne załadowanie strony (po kilku sek.) powoduje, że zaczyna się ładować właściwa strona.

Lista znanych i możliwych do zainfekowania sprzętów:

TP-Link WR1043ND

TP-Link WR2543ND

TP-Link MR-3220 MR3420 MR3440

TP-Link WR841ND

D-Link DIR-615

D-Link DIR-600

D-Link DIR-815

Linksys E4200 (oraz praktycznie cała seria E)

La Fon 2100 oraz 2200

Tagged with:
 

Oto krótki opis, prostego i darmowego sposobu na zdjęcie simlock-a z wielu telefonów Sony-Ericsson.

Jedyny warunek jaki musimy spełnić to nie posiadanie CID-a 53 w naszym telefonie, bo aktualnie nie ma możliwości patch-owania CID-a 53. Niższą wersję CID-a można podnieść lub nawet patchować taką jaka jest ale tego akurat nie testowałem na CID-a niższych niż 49.

Do zdjęcie simlock-a potrzebujemy standardowego kabla USB dostarczanego w 90% telefonów SE, oraz następujących programów:

SeTool2Lite v. 1.11 – bardzo popularny program który można odszukać tutaj: http://www.4shared.com/

Qamaker.exe oraz SIMLockPatchGen.exe

Ewentualnie na koniec XS++ 2.2

Zaczynamy:

1.      Na stronie http://www.4shared.com/network/search.jsp odszukujemy sobie oprogramowanie naszego dla naszego telefonu, najlepiej z CID52.

W wyszukiwarkę wpisujemy model naszego telefonu oraz słowo MAIN np. „K810 MAIN” co w rezultacie odszuka Man główny firmware telefonu.

Potem wpisujemy model telefonu i FS CENT co odszuka nam zawartość systemu plików dla środkowej europy.

2.      Wszystkie te pliki ściągamy i rozpakowywujemy. Wersja systemu plików powinna zgadzać się z wersja firmware-u.

3.       Generujemy Quick Access Patch

W tym celu umieszczamy MAIN w katalogu qamaker-a a następnie wykonujemy komendę: qamaker.exe nazwa_naszego_pliku_MAIN.mdn w rezultacie powstaje Quick Access Patch dla naszego MAIN-a wygląda on mniej więcej tak: quick_access_K810_R6BC002.vkp różnić się może tylko wersją oprogramowania i telefonu.

Powieksz

4.       Ładujemy oprogramowanie do telefonu tak aby po zaaplikowaniu patch-a FS zgadzał się z MAIN-em. Ja do tego celu używam XS++ 2.2. Opis ładowanie MAIN-a i FS opisałem już tutaj: http://backtrack.pl/2008/04/22/sony-ericsson-debrand/

5.       Ładowanie QA Patch-a

Odpalamy SeTool-a, którego umieściłem wyżej, wybieramy model telefonu oraz zaznaczamy „Bypass DB2020 Security” jeżeli telefon nie jest na platformie DB2020 opcja nie będzie widoczna. Za pomocą przycisku Add dodajemy nasz plik MAIN ten sam który uprzednio załadowaliśmy wraz z systemem plików (pkt.4) a w MISC Files: wybieramy Quick Access Patch który został wygenerowany w pkt.3 np. quick_access_K810_R6BC002.vkp i klikamy FLASH.

Proces trwa dobrą chwilę, dobrze by było gdyby w tym czasie komputer się nie zawiesił ani nie wyłączył, bo może się tak stać że telefon już nie odpali. (Ale to też da się odwrócić za pomocą SeTool-a, przez ponowną aplikację MAIN-a)

Podczas patchowania program poprosi nas o odłączenie telefonu wyjęcie z niego baterii oraz ponowne jego podłączenie (standardowo trzymając „C” na wyłączonym telefonie) kliknięcie „READY” i jeszcze kilka minut ładowania MAIN-a a na koniec program zada pytanie czy chcemy usunąć patch, wybieramy NO, po kilku sekundach program zakończy działanie i możemy wypiąć telefon.

Powieksz

6.       Generowanie simlock patcha

Odpalamy SIMLockPatchGen.exe wybieramy nasz MAIN (musi być ten sam co używaliśmy w wszystkich poprzednich punktach) No i znowu powstanie patch na simlock-a dedykowany dodanego oprogramowania np. „Remove_SIM_lock_K810_R6BC002.vkp”

Powieksz

7.       Patchowanie simlock-a

Proces ten nie usuwa całkowicie simlock-a, tylko modyfikuje oprogramowania tak aby go omijało, co niestety oznacza że przy każdej kolejnej wymianie oprogramowania będziemy musieli powtarzać ten proces.

Do rzeczy:

Odpalamy SeTool-a, wybieramy model telefonu, tylko tym razem zaznaczamy „Use Quick Access Patch”  a w MISC Files: wybieramy patch na simlocka wygenerowany w pkt.6 np.” „Remove_SIM_lock_K810_R6BC002.vkp” i klikamy „Write SCRIPT” (proces trwa bardzo krótko) Po jego zakończeniu telefon jest gotowy do działania i nie posiada simlock-a J

 

Czasem szczególnie w telefonach nie z polski trzeba zmienić region ich działania na centralną Europę inaczej będą pokazywać że usługi są że skonfigurowane etc.

Aby to zrobić odpalamy XS++ 2.2 klikamy „connect” podpinamy telefon trzymając „c” wybieramy „Customize File System” wybieramy nasz telefon z listy lub jemu najbliższy jeżeli takowego nie znajdziemy (dla K770,K810 wybieramy K800) a następnie wybieramy: CENT_EUROPE (CDA102568/2) (K800) i dajemy Flash. Potem mamy już gotowy do działania telefon bez simlock-a

 

Na koniec chciałem uprzedzić że nieumiejętne wykonywanie flash-owania może zakończyć się zablokowaniem lub unieruchomieniem telefonu, nie znaczy to jednak że telefon nadaje się do wyrzucenia bo o ile nie wgramy CID53 dalej za pomocą SeTool-a można sobie wgrać inny MAIN który przywróci telefon do życia a potem ponownie wykonujemy zdejmowanie simlock-a.

Musze jeszcze dodać że nawet gdy coś nam się nie uda NIEUŻYWAJCIE SEUS bo od dobrych 2-3 miesięcy SEUS ładuje soft-y z CID53 które mało to że za darmo nie są do odblokowania to jeszcze sporo kosztują i nie dają się modyfikować.

 

Powyższy opis umieszczam tylko w celach edukacyjnych i nie daje żadnej gwarancji  na to że jest on poprawny, używanie go/wykonujecie na własne ryzyko/koszt.

Ja sam takie zdejmowanie wykonałem kilka razy zawsze z powodzeniem na K800i K810i K770i z polskich sieci „Orange” oraz z angielskiej „3”

 

Powodzenia

  •  Q1: Dla jakich telefonów to działa?
    • A1: Dla Sony-Ericsson-ów na platformie DB2020 na 100% o ile nie posiadają CID53, oraz większości z CID-em 51 i 49 innych nie testowałem. (Dla CID51 i CID49 pewne elementy opisu można pominąć)
  • Q2: Czy to jest bezpieczne?
    • A2: Raczej tak, bo nawet gdy coś się nie uda firmware nie wgra się cały dalej SeTool potrafi załadować go ponownie, jedyne zagrożenie to CID53 który potrafi zablokować wszystko. Ja oczywiście nie daje żadnej gwarancji że to zadziała.
  • Q3: Czy ten proces da się odwrócić?
    • A3: Da się o ile pamiętamy wersje naszego pierwotnego oprogramowania.
  •  Q4: Czy mogę sobie podnieść CID do 52 za pomocą SEUS
    • A4: Nie, SEUS podnosi tylko do najnowszego CID53

 

 

 

Tagged with:
 

Portal Bezpieczna Sieć - Forum komputerowe, Informatyka śledcza, bezpieczeństwo, backtrack, kali - Kali Linux Polska Edycja - Polska Edycja Backtrack - Poradnik dla gracza - Seriws Laptopów Katowice - Sklep Komputerowy Katowice - Parking BETA przy lotnisku Pyrzowice - miejsce Run w sieci - eMono-cykl, SegWay, AirWheel, SoloWheel

stat4u