私達はかなり長い間、スパイ行為が国や政府、大企業にまで及んでいたことを見てきた。ネットワーク機器、電話、その他関連機器に数多くのバックドアが見つかり、メディアによって事件として報道された。 この講演では、大きな疑問となっている、モデム／ルーターのRTN、機器に見つかったバックドアについて説明する。その理由は、ベンダー情報がなく、だれが製造メーカーなのかといった情報もないというのに、市場での製造、販売、流通に少なくとも7企業が関わっていたからだ。しかも、その一部は全く現存していなかった。 これが、研究課題につながる質問へと私達を導いた：「私のモデムに誰がバックドアを仕掛けたのか?」 --- エワーソン・ギマラインス Ewerson Guimaraes Fumec大学でコンピューター・サイエンスの学位を取得したセキュリティ・アナリストであり、Epam Systemsの研究者でもある。脆弱性診断士として、Offensive Security（OSCP）、Elearn（WPT）から認定されており、ブラジルの情報セキュリティ／コンピューター雑誌「H4ck3r」と「GEEK」に論文が掲載されている。その上、IBM、McAfee、Skype、Technicolor、Tufin、TrendMicroなどといった大企業にて見つかった脆弱性や勧告を、SecurityFocusに投稿した。Metasploitフレームワーク・プロジェクトへのモジュールの開発に貢献。ミナスジェライス州最初のハッカープレース、BHackカンファレンスやArea31の設立者であり、現役のKali Linuxコミュニティコントリビューターである。

1. CONFIDENTIAL
私のモデムに誰が
バックドアを仕掛けたの
か ?
Ewerson Guimarães (Crash) / 2016

2. CONFIDENTIAL
研究情報
この講演は、 rea31Á ハッカースペースで誕生した。
ここに掲載されているすべての情報は公開されている。
誰もハックされなかった（ゴホンゴホン）

3. CONFIDENTIAL
エワーソン（クラッシュ）について：

4. CONFIDENTIAL
…バックグラウンド

5. CONFIDENTIAL
…バックグラウンド

6. CONFIDENTIAL
…バックグラウンド
20161018--D2T105-07[E2J]_Ewerson

7. CONFIDENTIAL
Background...

8. CONFIDENTIAL
…さて、始めよう

9. CONFIDENTIAL
…バックドア自体については語らないので

10. CONFIDENTIAL
…これがバックドアだ

11. CONFIDENTIAL
ユーザー名は同じだが、ひとつはバックドアのアカ
ウント

12. CONFIDENTIAL
単一ユーザーをバックドアに変形する
…

13. CONFIDENTIAL
ハードウェアを分析してみよう

14. CONFIDENTIAL
奇妙な機器
変な ID タグ！

15. CONFIDENTIAL
奇妙な機器
この機器は、 ANATEL （ブラジル国家電気通信局）に認可されている

16. CONFIDENTIAL
奇妙な機器
この機器は、 ANATEL （ブラジル国家電気通信局）に認可されている

17. CONFIDENTIAL
…さらに奇妙なもの
BayTech:

18. CONFIDENTIAL
BayTech:
18

19. CONFIDENTIAL
…さらに奇妙なもの
S&T Technology (Shenzhen) Co., Ltd を探してみると：

20. CONFIDENTIAL
…さらに奇妙なもの
デバイスマネージャで Observa Telecom …を見つけることはできるが
ベンダーの Web サイトは存在するが、単一の商標のみのブランクページで、マニ
ュアル、サポート、ファームウェアといった他のエリアへのリンクが無い。

21. CONFIDENTIAL
…さらに奇妙なもの
もちろん、 E メール（ 11 …通）の応答なし

22. CONFIDENTIAL
…さらに奇妙なもの
の機器は、 GVT （グローバル・ヴィレッジ・テレコム）によって流通している。
VT のテクニカルサポートとサイトによれば、このモデム／ルーターをサポートしていないとのこと。
信じられない？ 以下のサイトを見てほしい：
p://www.gvt.com.br/PortalGVT/Atendimento/Area-Aberta/Documentos/Lista-de-Modens

23. CONFIDENTIAL
…さらに奇妙なもの
…そのファームウェアをバイナリエディタで開いてみると
おっと待て、作ったのは TPLINK だって？？？？？？

24. CONFIDENTIAL
…さらに奇妙なもの
バックドアパスワード： MAC アドレスの最後の 2 つの 8 ビット ＋ airocon の文字列

25. CONFIDENTIAL
…さらに奇妙なもの
Airocon とは？
25

26. CONFIDENTIAL
…さらに奇妙なもの
Airocon とは？

27. CONFIDENTIAL
…さらに奇妙なもの
最後のアクセス可能なサイト（ 2005 年 3 月 )

28. CONFIDENTIAL
…さらに奇妙なもの
このタグ ID と Anatel のシール、覚えている？
28
Bingo! 41C3

29. CONFIDENTIAL
… …そして、この奇妙な部分に片を付けるには
ハードウェアベンダー： Realtek

30. CONFIDENTIAL
…バックドアの内部は
通常のシステム管理ユーザーでログイン
( admin:gtv12345)
コマンド "sh" と "login show" は使えない。

31. CONFIDENTIAL
…バックドアの内部は
バックドアアカウントでログイン
した場合：

32. CONFIDENTIAL
…バックドアの内部は
n show" コマンドは、（ Web インタフェース上に隠れている）バックドアアカウントを表示する

33. CONFIDENTIAL
…バックドアの内部は
機器のメモリをさらによく見てみることで、いくつかの興味深い情報を見つけることができ
た：
中国企業へのリダイレクトリンク：
セットした後でさえ、この機器の前回のユーザー名を取得できた：
機器は、隣接ネットワーク名を保存する：

34. CONFIDENTIAL
…バックドアの内部は
T のクレデンシャル・サービスに関する極秘データ :

35. CONFIDENTIAL
…バックドアの内部は
の上、バックドアユーザー用のシステム管理ページは、通常のシステム管理ページとは完全に異なる。

36. CONFIDENTIAL
…バックドアの内部は
工場出荷時の初期パスワードは、以下とは異なる：
admin:admin
admin:12345
admin:
工場出荷状態へのリセットはできる！
しかしパスワードは変わらない： admin:gvt12345

37. CONFIDENTIAL
…バックドアの外側は
Shodan が
友達であろうと
…なかろうと
機器は
インターネットに
晒されている：
おおよそ 5600

38. CONFIDENTIAL
小さな Shell スクリプト：
root@anubis:~# ./gvtfucker.sh
GVT RTN04 F cker*
Testing:177.206.29.204
Backdoor password: airocon2533
Testing:179.179.72.251
Testing:189.113.134.199
Backdoor password: airocon0E6B
Testing:186.213.233.192
Testing:186.215.19.197
Testing:189.113.136.93
Backdoor password: airoconCE4A
Testing:189.113.138.111
Testing:189.113.137.203
Testing:189.26.50.164
Testing:189.58.16.44
Testing:191.248.83.225
Testing:177.132.241.119
Backdoor password: airocon02CC
Testing:177.156.255.85
Testing:177.156.36.116
Backdoor password: airoconFA1E
Testing:177.157.166.210
Testing:187.59.45.9
Testing:189.113.131.161
Testing:189.113.131.197
Testing:189.113.134.226
Testing:189.113.137.32
Testing:189.113.138.111
Backdoor password: airoconDA32

39. CONFIDENTIAL
…バックドアの外側は

40. CONFIDENTIAL
…バックドアの外側は

41. CONFIDENTIAL
また内部へ

42. CONFIDENTIAL
…更新情報
約 1 年後、 Observa のサイトが更新された。

43. CONFIDENTIAL
…更新情報
約 1 年後、 Observa のサイトが更新された。

44. CONFIDENTIAL
…更新情報
…私は再びコンタクトを試みた

45. CONFIDENTIAL
修正方法
バックドアのフラグを変更し、
ファイルをアップロードをするが、
工場出荷状態へのリセットは絶対しな
い。
または／そして、
もちろん、リモートアクセスを無効に
する。
ファームウェアをハックする

46. CONFIDENTIAL
考察
自分の機器を検査する！
自分の機器を燃やす！
自分の機器をファジングして
めちゃク◯にする！

47. CONFIDENTIAL
そして、黄金の質問：
私のモデムに
誰がバックドアを仕掛けたのか ?

48. CONFIDENTIAL
質問ありますか？
質問の前に、あなたの
フルネームを言ってください。
お願いします。

49. CONFIDENTIAL
ご清聴ありがと
う
49