DNS-Changer-Malware setzt Zielmarken auf Heimroutern

Originalbeitrag von Fernando Mercês (Senior Threat Researcher)

Vielen Menschen ist noch immer unbekannt, dass Heimrouter zum Diebstahl persönlicher Zugangsdaten missbraucht werden können. Cyberkriminelle haben Malware entwickelt, mit der sich Domain Name System (DNS)-Einträge ändern lassen, um selbst den unscheinbarsten Netzwerkrouter in ein Werkzeug ihrer Machenschaften zu verwandeln.

Angriffe mit DNS-Changer-Malware sind zwar nicht neu, aber wir sehen zum ersten Mal, dass diese Malware Router attackieren kann (auch wenn wir wissen, dass Router manchmal mit bösartigen DNS-Servereinstellungen ausgeliefert werden). In diesem Szenario macht sich die Malware am Router und dessen DNS-Einstellungen zu schaffen. Für den Fall, dass die Anwender legitime Websites von Banken oder andere von den Onlinegangstern definierte Seiten aufrufen wollen, leitet die Malware diese Anfragen auf bösartige Versionen dieser Seiten um. Dadurch können die Cyberkriminellen Kontozugangsdaten der Anwender, PIN-Nummern, Passwörter etc. stehlen.

Wir haben eine wachsende Anzahl solcher bösartigen Websites in Brasilien (fast 88 Prozent aller Infektionen), den Vereinigten Staaten und Japan, aber auch in Deutschland festgestellt. Diese Websites führen ein Browser-Skript für eine Brute-Force-Attacke gegen den Router der Opfer aus, und zwar vom internen Netzwerk aus. Durch den Zugriff auf die Verwaltungsoberfläche mittels der richtigen Zugangsdaten sendet das Skript eine einzelne http-Anfrage an den Router mit einer bösartigen DNS-Server-IP-Adresse. Sobald die bösartige Version die legitime IP-Adresse ersetzt, ist die Infektion erfolgreich. Außer den temporären Navigationsdateien werden keine Dateien auf den Rechnern der Opfer erstellt; die Malware verwendet keine persistenten Techniken und nimmt am System keine Veränderungen vor.

Modifizierte DNS-Einträge bedeuten, dass die Anwender gar nicht wissen, dass sie bösartige Klone von legitimen Websites besuchen und dort navigieren. Insbesondere Anwender, die auf ihren Routern die ab Werk gelieferten Zugangsdaten nicht ändern, sind einem hohen Infektionsrisiko ausgesetzt.

DNS-Router-Malware ermöglicht Brute-Force-Attacken

DNS ist der Internetstandard für die Zuweisung von IP-Adressen an Domänennamen. DNS funktioniert wie ein Telefonbuch, das eingabefreundliche Hostnamen in maschinenverständliche IP-Adressen übersetzt. Cyberkriminelle entwickeln DNS-Changer-Malware, um die DNS-Einstellungen eines Routers zu ändern. Wir haben über DNS-Changer-Malware bereits im Jahr 2011 berichtet, als über vier Millionen Computer damit infiziert und als Zombierechner des Botnets Esthost missbraucht wurden. Trend Micro hat damals im Rahmen der Operation Ghost Click an der Abschaltung des Botnets mitgewirkt.

Internetnutzer nehmen DNS-Einträge in der Regel als gegeben hin, da diese normalerweise von ihren ISPs zugewiesen werden. Eine Infektion mit DNS-Changer-Malware bewirkt jedoch, dass die „Signale“ unbemerkt verändert werden können. Selbst wenn also ein Anwender sich sicherheitsbewusst verhält, indem er zum Beispiel den korrekten Namen der Website seiner Bank eintippt, bei der Kontoanmeldung ein supersicheres Passwort verwendet oder sich nach Beendigung der Online-Bankgeschäft ordnungsgemäß vom Konto abmeldet, besteht ein hohes Risiko, dass die Daten gestohlen werden. Voraussetzung dafür ist lediglich, dass die Malware die Umleitung vor der Transaktion bewirkt hat.

Wie gesagt, diese Art Malware ist zwar nicht neu, jüngst haben wir jedoch eine wachsende Anzahl verseuchter Links im Rahmen von Phishing-Attacken in Brasilien gesehen. Diese dienen als Einfallstor für ein Skript, das Trend Micro als HTML_DNSCHA.SM entdeckt und das eine Brute-Force-Attacke gegen den Router aus dem internen Netz heraus verübt. Sobald also der Anwender das bösartige Skript ausführt, würde ein Netzwerkadministrator dies als DNS-Änderungsanfrage vom Rechner des Anwenders an den Router erkennen, sofern er den internen Netzwerkverkehr beobachtet. Administratoren, die vor allem auf externe Angriffe in den Protokolldateien von Firewall und Router achten, würden hingegen nichts finden.

Brute-Force-Angriffe sind vor allem deshalb weiterhin erfolgreich, weil die Routerbesitzer oftmals keine eigenen Routerpasswörter erstellen und stattdessen die voreingestellten Standard-Passwörter verwenden. Diese sind gerade bei beliebten Routermarken im Web veröffentlicht.

Trotz einer Infektion kann das Opfer weiterhin die Websites seiner Wahl aufrufen. Nur wenn er eine Site, zum Beispiel die seiner Bank, öffnen will, die auch die Cyberkriminellen interessiert, bekommt er eine gefälschte Kopie der legitimen Website zu sehen. Und diese wurde sorgfältig gestaltet, um die Zugangsdaten der Opfer erfolgreich abzugreifen.

Eines der Malware-Exemplare, die wir untersucht haben, greift die externe IP-Adresse des Opfers ab. Der dafür zuständige Teil des Quellcodes ist in folgendem Screenshot zu sehen:

DNS_Changer_Abbildung1

Abbildung 1: Obiger Quellcode zeigt, wie die IP-Adresse des Opfers abgefangen wird

Das Skript versucht, sowohl die IP-Adresse des Routers als auch die Zugangsdaten zur Verwaltungskonsole herauszufinden. Jedes einzelne Skript wurde für verschiedene Routermodelle konzipiert. Das hier gezeigte Beispiel hat es auf D-LINK- und TPLINK-ADSL-Router abgesehen, die in Brasilien weit verbreitet sind. Die folgende Abbildung zeigt den für die Brute-Force-Attacke zuständigen Teil des Quellcodes:

DNS_Changer_Abbildung2

Abbildung 2: Obiger Quellcode zeigt Routinen für Brute-Force-Attacken

Das Skript versucht, sich mit dem Router mittels privater RFC1918 (https://tools.ietf.org/html/rfc1918) Class A, B und C sowie der externen (öffentlichen) IP-Adresse zu verbinden. Es ist unmittelbar einsichtig, warum diese Art des Angriffs von Standard-Router-Einstellungen profitiert.

Wer sind die Opfer?

Wie bereits erwähnt, befindet sich die Mehrzahl der infizierten Router in Brasilien. Das folgende Kreisdiagramm zeigt die Zahl der Zugriffe auf die von den DNS-Servern umgeleiteten URLs.

DNS_Changer_Abbildung3

Abbildung 3: Die Mehrzahl der infizierten Router steht in Brasilien

Einige der beobachteten bösartigen Websites sind für die Anzeige auf mobilen Endgeräten optimiert. Sobald also die DNS-Einträge auf dem Router geändert sind, sind alle angeschlossenen Geräte im Netzwerk dem Bedrohungsrisiko ausgesetzt, nicht nur die festinstallierten Rechner.

Der Angriff ist wahrscheinlich nicht auf Betrugsversuche im Online-Banking beschränkt. Diese Angriffsart stellt insbesondere für das Internet der Dinge und smarte Geräte eine Gefahr dar. Schließlich können Cyberkriminelle auch die Authentifizierungs- und Feedback-Seiten, die diese Geräte anzusteuern versuchen, fälschen, um die Zugangsdaten zu stehlen.

Handlungsempfehlungen

Um diesen und andere Angriffe auf Router zu verhindern, empfehlen wir den Anwendern, ihre Router in folgender Weise zu konfigurieren:

  • Nutzen Sie starke Passwörter für alle Nutzerkonten
  • Nutzen Sie eine andere als die voreingestellte IP-Adresse
  • Deaktivieren Sie die Funktionalitäten zur Fernadministration

Die DNS-Einträge des Routers sollten zudem in regelmäßigen Abständen überprüft werden. Betrachten Sie außerdem besonders aufmerksam die von Ihnen besuchten Websites, die von Ihnen Zugangsdaten einfordern. Dazu zählen unter anderem Websites von E-Mail-Anbietern oder von Ihrer Bank etc. Diese Websites müssen alle über gültige SSL-Zertifikate verfügen und diese anzeigen. Darüber hinaus lohnt es sich, Browsererweiterungen wie NoScript zu installieren, die Skripte blockieren, bevor sie ausgeführt werden.

Für Netzwerkadministratoren habe ich ein einfaches UNIX-Shell-Skript geschrieben, in das sich bekannte Domänenmanen (z. B. von E-Mail-Anbietern oder Banken) eintragen lassen. Das Skript erwartet als Input eine verdächtige DNS-Serveradresse oder die Standard-DNS-Server-Adresse des Routers. Ferner setzt das Skript eine DNS-Anfrage an einen öffentlichen DNS-Server (in diesem Fall von Google) ab sowie eine weitere an den verdächtigen DNS-Server und vergleicht beide Antworten. Sollten diese voneinander abweichen, liegt ein Hinweis vor, dass es sich bei dem überprüften verdächtigen DNS-Server in der Tat um einen bösartigen handelt.

Relevante Hashwerte (HTML_DNSCHA.SM):

  • b7f2d91a1206b9325463e7970da32a0006a3ead5
  • 92b62f4a5bcf39e2b164fb5088b5868f54fa37b0
  • 48dbea87e50215504d3f5b49f29ecc4f284c6799
  • af6398ea2ade1ec6d3b3f45667f774008593a59f
  • 07a97f34b73c4525c65dabe1de15340e31d3353a
  • 86363fcf087c5d5a6830b7c398a73ea3fa4ee961
  • 62a2f5f5c6dd075c2dc3c744273fc8689e2e1e5f
  • 321f4ba49d978c7d2af97b2dc7aab8b40c40d36e

IP-Adressen bösartiger DNS-Server:

  • 119.37.193
  • 119.49.210
  • 8.68.249
  • 8.85.139
  • 64.186.146.68
  • 64.186.158.42
  • 218.186.2.16
  • 218.186.2.6
  • 192.99.111.84
  • 46.161.41.146

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.