Wie kann Malware einen Router beeinträchtigen?

Question 1

Wie kann man einen Router infizieren?

Es gibt viele mögliche Infektionsvektoren.

Bei einer solchen Infektion wird die Malware verwendet, um den Router und seine DNS-Einstellungen zu manipulieren. Diese Malware infiziert den Router vom lokalen Netzwerk aus (DNS-Changer-Malware nimmt Heimrouter ins Visier).

Die Malware leitet Benutzer auf bösartige Versionen von Seiten um. So können Kriminelle Kontoanmeldeinformationen, PIN-Nummern, Passwörter usw. stehlen.

Wie ineine andere Antwort, kann das DNS auch dazu genutzt werden, Anfragen über Ad-Server umzuleiten.
Bei einer anderen Infektion infiziert die Malware den Router über das Internet und nutzt dabei einen Fehler im Remote-Zugriffscode des Routers (Bizarrer Angriff infiziert Linksys-Router mit selbstreplizierender Malware).
Durch die Suche nach „Router-Malware“ können viele weitere Router-Malware-Varianten gefunden werden.

DNS-Changer-Malware nimmt Heimrouter ins Visier

Heimrouter können zum Diebstahl von Benutzeranmeldeinformationen verwendet werden, und die meisten Leute wissen es einfach noch nicht. Bösewichte haben Wege gefunden, mithilfe von Domain Name System (DNS)-Changer-Malware den unauffälligsten Netzwerkrouter in ein wichtiges Werkzeug für ihre Machenschaften zu verwandeln.

Wir wissen bereits, dass Router manchmal mit bösartigen DNS-Servereinstellungen ausgeliefert werden. In diesem Szenario wird die Malware verwendet, um den Router und seine DNS-Einstellungen zu manipulieren. Falls Benutzer versuchen, legitime Bankwebsites oder andere von den Bösewichten definierte Seiten zu besuchen, leitet die Malware die Benutzer auf bösartige Versionen der besagten Seiten um. Auf diese Weise können Cyberkriminelle Kontoanmeldeinformationen, PIN-Nummern, Passwörter usw. der Benutzer stehlen.

Wir haben eine wachsende Zahl ähnlicher bösartiger Websites in Brasilien (fast 88 % aller Infektionen), den USA und Japan festgestellt. Diese Websites führen ein Browserskript aus, das vom internen Netzwerk aus einen Brute-Force-Angriff auf den Router des Opfers durchführt. Mit Zugriff auf die Administrationsoberfläche über die richtigen Anmeldeinformationen sendet das Skript eine einzelne HTTP-Anfrage mit einer bösartigen DNS-Server-IP-Adresse an den Router. Sobald die bösartige Version die aktuelle IP-Adresse ersetzt, ist die Infektion abgeschlossen. Mit Ausnahme der temporären Navigationsdateien werden auf dem Opfercomputer keine Dateien erstellt, es ist keine persistente Technik erforderlich und es ändert sich nichts.

Geänderte DNS-Einstellungen bedeuten, dass Benutzer nicht wissen, dass sie zu Klonen vertrauenswürdiger Websites navigieren. Benutzer, die die Standardanmeldeinformationen nicht ändern, sind für diese Art von Angriffen sehr anfällig.

QuelleDNS-Changer-Malware nimmt Heimrouter ins Visier

Bizarrer Angriff infiziert Linksys-Router mit selbstreplizierender Malware

Der Angriff beginnt mit einem Remote-Aufruf des Home Network Administration Protocol (HNAP), einer Schnittstelle, die es ISPs und anderen ermöglicht, Heim- und Bürorouter aus der Ferne zu verwalten. Die Remote-Funktion wird von einem integrierten Webserver bereitgestellt, der auf über das Internet gesendete Befehle wartet. Normalerweise muss der Remote-Benutzer vor der Ausführung von Befehlen ein gültiges Administratorkennwort eingeben, obwohl frühere Fehler in HNAP-Implementierungen Router anfällig für Angriffe gemacht haben. Nachdem der Wurm mithilfe von HNAP anfällige Router identifiziert hat, nutzt er eine Sicherheitslücke zur Umgehung der Authentifizierung in einem CGI-Skript aus. (Ullrich identifiziert das Skript nicht, da es auf vielen älteren Routern noch nicht behoben ist und er es Angreifern nicht leichter machen möchte, es anzugreifen.) Ullrich sagte, er habe schwache Kennwörter als Ursache für die Linksys-Infektionen ausgeschlossen.

QuelleBizarrer Angriff infiziert Linksys-Router mit selbstreplizierender Malware

Answer

Wie kann man einen Router infizieren?

Es gibt viele mögliche Infektionsvektoren.

Bei einer solchen Infektion wird die Malware verwendet, um den Router und seine DNS-Einstellungen zu manipulieren. Diese Malware infiziert den Router vom lokalen Netzwerk aus (DNS-Changer-Malware nimmt Heimrouter ins Visier).

Die Malware leitet Benutzer auf bösartige Versionen von Seiten um. So können Kriminelle Kontoanmeldeinformationen, PIN-Nummern, Passwörter usw. stehlen.

Wie ineine andere Antwort, kann das DNS auch dazu genutzt werden, Anfragen über Ad-Server umzuleiten.
Bei einer anderen Infektion infiziert die Malware den Router über das Internet und nutzt dabei einen Fehler im Remote-Zugriffscode des Routers (Bizarrer Angriff infiziert Linksys-Router mit selbstreplizierender Malware).
Durch die Suche nach „Router-Malware“ können viele weitere Router-Malware-Varianten gefunden werden.

DNS-Changer-Malware nimmt Heimrouter ins Visier

Heimrouter können zum Diebstahl von Benutzeranmeldeinformationen verwendet werden, und die meisten Leute wissen es einfach noch nicht. Bösewichte haben Wege gefunden, mithilfe von Domain Name System (DNS)-Changer-Malware den unauffälligsten Netzwerkrouter in ein wichtiges Werkzeug für ihre Machenschaften zu verwandeln.

Wir wissen bereits, dass Router manchmal mit bösartigen DNS-Servereinstellungen ausgeliefert werden. In diesem Szenario wird die Malware verwendet, um den Router und seine DNS-Einstellungen zu manipulieren. Falls Benutzer versuchen, legitime Bankwebsites oder andere von den Bösewichten definierte Seiten zu besuchen, leitet die Malware die Benutzer auf bösartige Versionen der besagten Seiten um. Auf diese Weise können Cyberkriminelle Kontoanmeldeinformationen, PIN-Nummern, Passwörter usw. der Benutzer stehlen.

Wir haben eine wachsende Zahl ähnlicher bösartiger Websites in Brasilien (fast 88 % aller Infektionen), den USA und Japan festgestellt. Diese Websites führen ein Browserskript aus, das vom internen Netzwerk aus einen Brute-Force-Angriff auf den Router des Opfers durchführt. Mit Zugriff auf die Administrationsoberfläche über die richtigen Anmeldeinformationen sendet das Skript eine einzelne HTTP-Anfrage mit einer bösartigen DNS-Server-IP-Adresse an den Router. Sobald die bösartige Version die aktuelle IP-Adresse ersetzt, ist die Infektion abgeschlossen. Mit Ausnahme der temporären Navigationsdateien werden auf dem Opfercomputer keine Dateien erstellt, es ist keine persistente Technik erforderlich und es ändert sich nichts.

Geänderte DNS-Einstellungen bedeuten, dass Benutzer nicht wissen, dass sie zu Klonen vertrauenswürdiger Websites navigieren. Benutzer, die die Standardanmeldeinformationen nicht ändern, sind für diese Art von Angriffen sehr anfällig.

QuelleDNS-Changer-Malware nimmt Heimrouter ins Visier

Bizarrer Angriff infiziert Linksys-Router mit selbstreplizierender Malware

Der Angriff beginnt mit einem Remote-Aufruf des Home Network Administration Protocol (HNAP), einer Schnittstelle, die es ISPs und anderen ermöglicht, Heim- und Bürorouter aus der Ferne zu verwalten. Die Remote-Funktion wird von einem integrierten Webserver bereitgestellt, der auf über das Internet gesendete Befehle wartet. Normalerweise muss der Remote-Benutzer vor der Ausführung von Befehlen ein gültiges Administratorkennwort eingeben, obwohl frühere Fehler in HNAP-Implementierungen Router anfällig für Angriffe gemacht haben. Nachdem der Wurm mithilfe von HNAP anfällige Router identifiziert hat, nutzt er eine Sicherheitslücke zur Umgehung der Authentifizierung in einem CGI-Skript aus. (Ullrich identifiziert das Skript nicht, da es auf vielen älteren Routern noch nicht behoben ist und er es Angreifern nicht leichter machen möchte, es anzugreifen.) Ullrich sagte, er habe schwache Kennwörter als Ursache für die Linksys-Infektionen ausgeschlossen.

QuelleBizarrer Angriff infiziert Linksys-Router mit selbstreplizierender Malware

Question 2

Es handelt sich nicht um eine Infektion im herkömmlichen Sinne. Stattdessen werden lediglich die DNS-Einstellungen Ihres Routers geändert, sodass Anfragen an spezielle DNS-Server gesendet werden. Diese Server sind so konfiguriert, dass Sie auf gefälschte Websites und/oder mit Malware infizierte Versionen echter Websites umgeleitet werden.

Sie könnten beispielsweise eine Kopie der Website Ihrer Bank erstellen. Wenn Sie das nächste Mal versuchen, auf Ihr Online-Banking zuzugreifen, könnten sie Ihre Anmeldeinformationen abgreifen und – je nachdem, wie sicher die Website Ihrer Bank ist – sogar Ihr Geld stehlen.

Answer

Es handelt sich nicht um eine Infektion im herkömmlichen Sinne. Stattdessen werden lediglich die DNS-Einstellungen Ihres Routers geändert, sodass Anfragen an spezielle DNS-Server gesendet werden. Diese Server sind so konfiguriert, dass Sie auf gefälschte Websites und/oder mit Malware infizierte Versionen echter Websites umgeleitet werden.

Sie könnten beispielsweise eine Kopie der Website Ihrer Bank erstellen. Wenn Sie das nächste Mal versuchen, auf Ihr Online-Banking zuzugreifen, könnten sie Ihre Anmeldeinformationen abgreifen und – je nachdem, wie sicher die Website Ihrer Bank ist – sogar Ihr Geld stehlen.

Question 3

DanielB hat nicht Unrecht, aber Ihre Frage geht eher in die Richtung „wie“.

Router sind normalerweise so eingestellt, dass sie keine Remote-Administration von außerhalb Ihres LANs zulassen. Sie akzeptieren jedoch den Remote-Administration-Zugriff von Computern innerhalb ihres eigenen LANs.

Ihre MalwarewahrscheinlichgebrauchtdeinComputer, um auf die Administratorseiten zuzugreifen, sodass der Router eine Administratorverbindung aus dem LAN akzeptierte. Die Malware hat dies möglicherweise vollständig aus einer Browsersitzung heraus getan, aber wahrscheinlicher ist, dass sie einfach einen Trojaner auf Ihr System geladen hat, der dann den Router untersuchte und eine Liste bekannter Schwachstellen ausprobierte (wie beispielsweise einfach das werkseitige Standardkennwort zu verwenden) und dann Konfigurationsänderungen am DNS vornahm, um alle Ihre Anfragen über ihre Anzeigenserver zu leiten, wo sie alle Ihre Seiten als Proxy verwenden und Code in sie einschleusen.

Sie sollten wahrscheinlich einen Hard Factory Reset durchführen (lesen Sie im Handbuch nach, aber normalerweise geht das so: ausschalten, die Reset-Taste 90 Sekunden gedrückt halten und wieder einschalten) und es dann neu konfigurieren. Ändern Sie das Passwort.

Beachten Sie, dass auf diese Weise eine neue Firmware hochgeladen werden kann. Es ist also möglich, dass es sich um mehr als nur eine Änderung der Benutzerkonfiguration handelt.

Sie müssen Ihren Computer auch auf Programm-Dropper und/oder Trojaner überprüfen, die lediglich die Einstellungen Ihres Routers ändern.

Answer

DanielB hat nicht Unrecht, aber Ihre Frage geht eher in die Richtung „wie“.

Router sind normalerweise so eingestellt, dass sie keine Remote-Administration von außerhalb Ihres LANs zulassen. Sie akzeptieren jedoch den Remote-Administration-Zugriff von Computern innerhalb ihres eigenen LANs.

Ihre MalwarewahrscheinlichgebrauchtdeinComputer, um auf die Administratorseiten zuzugreifen, sodass der Router eine Administratorverbindung aus dem LAN akzeptierte. Die Malware hat dies möglicherweise vollständig aus einer Browsersitzung heraus getan, aber wahrscheinlicher ist, dass sie einfach einen Trojaner auf Ihr System geladen hat, der dann den Router untersuchte und eine Liste bekannter Schwachstellen ausprobierte (wie beispielsweise einfach das werkseitige Standardkennwort zu verwenden) und dann Konfigurationsänderungen am DNS vornahm, um alle Ihre Anfragen über ihre Anzeigenserver zu leiten, wo sie alle Ihre Seiten als Proxy verwenden und Code in sie einschleusen.

Sie sollten wahrscheinlich einen Hard Factory Reset durchführen (lesen Sie im Handbuch nach, aber normalerweise geht das so: ausschalten, die Reset-Taste 90 Sekunden gedrückt halten und wieder einschalten) und es dann neu konfigurieren. Ändern Sie das Passwort.

Beachten Sie, dass auf diese Weise eine neue Firmware hochgeladen werden kann. Es ist also möglich, dass es sich um mehr als nur eine Änderung der Benutzerkonfiguration handelt.

Sie müssen Ihren Computer auch auf Programm-Dropper und/oder Trojaner überprüfen, die lediglich die Einstellungen Ihres Routers ändern.

Wie kann Malware einen Router beeinträchtigen?

Antwort1

Wie kann man einen Router infizieren?

DNS-Changer-Malware nimmt Heimrouter ins Visier

Bizarrer Angriff infiziert Linksys-Router mit selbstreplizierender Malware

Antwort2

Antwort3

verwandte Informationen