Router-Angriff bringt falsche Warnungen auf den Schirm

Originalartikel von Jaydeep Dave, Vulnerability Research

Nur weil Sicherheitsforscher über Bedrohungen berichten, sind wir diese noch lange nicht los. Der Autor berichtet über seine Erfahrungen mit manipulierten DNS Routern.
Neulich musste ich mich zu Hause mit den Folgen von manipulierten DNS-Einstellungen meines Routers beschäftigen. Es geht um ein vom ISP geliefertes kombiniertes Modem und Router-Gerät. Ich wurde auf Seiten mit Warnungen umgeleitet, die stark denen ähnelten, die frühere FAKEAV-Angriffe nutzten. Ich merkte, dass die DNS-Einstellungen meines Internet Routers manipuliert worden waren. Nach dieser Entdeckung prüfte ich, ob der Router infiziert worden war. Ich versuchte auf verschiedene http-Websites zu browsen, doch alle zeigten auf den von mir genutzten Geräten (Windows Phone, iPad, Laptop) eine Warnung an. Zum Beispiel gab es eine Warnung, dass mein System von „2 bösartigen Viren“ befallen sei und meine persönlichen Informationen „möglicherweise nicht sicher seien“:


Bild 1. Warnung, die auf http-Websites von meinem infizierten Router angezeigt wird (durch Anklicken vergrößern)

Ich prüfte die DNS-Einstellung im Router auf etwas Verdächtiges. Soweit ich weiß, sollten die Einstellungen folgendermaßen aussehen:


Bild 2. Original-DNS-Einstellungen

Die tatsächlichen DNS-Einstellungen waren folgende:


Bild 3. Die manipulierten Settings führen die primäre DNS IP-Adresse als 5[.]104[.]175[.]151

Ich prüfte die neu angeführten IP-Adressen mit dem Trend Micro IP Reputation Service, der die neue IP als „bad“ führt.


Bild 4. Neue IP-Adresse in DNS-Einstellungen wird von Trend Micros IP Reputation Service als „bad“ geführt

Ich weiß nicht genau, wie die DNS-Einstellungen modifiziert wurden, weil der Router von meinem ISP vorkonfiguriert war. Es ist durchaus möglich, dass der Router „unterwegs“ manipuliert wurde, denn Lieferketten sind beliebte Angriffsziele und stellen einen Schwachpunkt in jedem Unternehmen dar.

Steigende Zahl angreifbarer Router weltweit

In den letzten Monaten und Jahren hat es auch andere Router-Angriffe gegeben. Bereits 2010 haben Forscher Angriffe auf Endbenutzer-Router aufgezeigt, die DNS Rebinding und Cross-Site Request-Fälschungen kombinierten. Bei Erfolg hätte ein solcher Angriff Änderungen an den DNS-Einstellungen des Routers ermöglicht, sodass jeder damit verbundene Nutzer auf Phishing-Attacken anfällig gewesen wäre.

2014 entdeckte Trend Micro einen Router-basierten Angriff. Von Netcore hergestellte Router wurden unwissentlich mit einem weit offenen Hintertür-Schädling verkauft. Und letzten März gab es eine Schadsoftware, die versuchte, sich mit Heim-Routern zu verbinden und nach vernetzten Geräten zu suchen.

Daten aus Asus Heim-Routern mit der Trend Micro Smart Home Network Solution zeigen, dass diese Arten von Angriffen weiter gehen. Beispielsweise entdeckten die Sicherheitsforscher einen Angriff (und blockierten ihn) über die Sicherheitslücke CVE-2015-0554. Diese Angriffe wurden vor allem in Australien, China und Spanien festgestellt.

Sichern des Netzwerks zu Hause

Router sind ein ideales Ziel für Cyberkriminelle, und das Manipulieren eines drahtlosen Routers ermöglicht es Angreifern, die Online-Aktivitäten der Opfer zu überwachen. Cyberkriminelle nutzen verschiedene Möglichkeiten, um diese Angriffe zu starten.

Deshalb sollte das Absichern des Routers vorrangig sein, denn diese haben häufig wichtige Voreinstellungen, die sicherheitskritisch sein können. Voreinstellungen erleichtern die Konfiguration, machen aber den Router auch angreifbar für nicht autorisierten Zugriff.

Das Erstellen eines starken Router Login-Kennworts ist eine erste Empfehlung. Ändern der Router-Zugangsdaten ist ebenfalls sehr wichtig. Weil Cyberkriminelle häufig Schadsoftware und Skripts in ihren Router-Angriffen nutzen, empfiehlt sich zudem dringend der Einsatz einer Sicherheitslösung wie Trend Micro Security beziehungsweise Trend Micro Mobile for Android und iOS für Smartphones, die die Ausführung von Malware verhindern können. Nutzer können auch ihren ISP anrufen, um Hilfe mit manipulierten DNS-Einstellungen zu erhalten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.