VPNFilter: Zwei Jahre später immer noch infizierte Router

Originalbeitrag von Stephen Hilt, Fernando Merces

Mit steigender Verbreitung des Internets der Dinge (IoT) werden gängige IoT-Geräte wie Router, Drucker, Kameras und NAS-Geräte (Network-Attached Storage) immer häufiger zum Ziel von Cyberkriminellen. Anders als die typischen Betriebssysteme wie Windows und macOS patchen Nutzer ihre IoT-Geräte seltener. Das liegt daran, dass sie die Aufgabe als schwieriger und unbequemer empfinden, da die Betriebssysteme dieser Geräte keine automatische Update-Funktion haben und einige Hersteller nur selten Sicherheitsupdates herausgeben. Dies ist die Art von Systemen, bei denen sich Anwender einmal anmelden, um sie einzurichten, und dies dann nie wieder tun, es sei denn, es treten große Probleme auf. Es kommt auch nicht selten vor, dass veraltete Router vorhanden sind – die schon so lange in Betrieb sind wie das System selbst.

Infolgedessen stehen viele Systeme weit offen für bekannte Schwachstellen, die noch Jahre nach der ersten Infektion zu erfolgreichen Angriffen führen können. Bei der Betrachtung dieser Arten von Infektionen durch bekannte Malware-Familien fanden die Sicherheitsforscher von Trend Micro am häufigsten die Malware-Familien VPNFilter von 2018.

VPNFilter ist ein Malware-Typ, der auf Router und Speichergeräte abzielt, indem er Backdoor-Accounts und Exploits verschiedener bekannter Hersteller nutzt. Im Mai 2018 veröffentlichte Cisco Talos den ersten Bericht über die Malware, der zeigte, dass VPNFilter darauf ausgelegt war, in Netzwerke einzudringen und nach Modbus-Datenverkehr zu suchen. Modbus ist ein beliebtes, für diese Art von Systemen spezifisches Industrial Control System (ICS)-Kommunikationsprotokoll. Die Malware konzentriert sich zwar tendenziell auf die Kompromittierung von IoT-Geräten der Verbraucherklasse, doch sind diese Geräte aus verschiedenen Gründen häufig als Teil von ICS-Systemen zu finden. Das liegt unter anderem daran, dass sie einfach zu implementieren sind, einen Remote-Anbieterzugriff ermöglichen oder einfach versehentlich vom Administrator hinzugefügt wurden. Das FBI ordnete den ersten gemeldeten Angriff nationalstaatlichen Akteuren zu, wahrscheinlich weil die Malware potenziell auf Steuerungssysteme aus ist.

VPNFilter agiert in mehreren Phasen, einschließlich einer Erstinfektion, Command-and-Control  (C&C) -Kommunikation und einer dritten Phase, in der die Payloads bereitgestellt werden. Diese Payloads führen die Aufgaben aus, für die die Malware vorgesehen ist. Hier findet sich auch der Modbus-Teil. In der ersten Phase der Malware geht es darum, Zugriff auf bestimmte Geräte von über 12 Anbietern zu erhalten. In der zweiten Phase versucht die Schadsoftware, eine Verbindung zu Photobucket herzustellen, einer Image-Website, um eine Image-Datei herunterzuladen, in der die IP-Adresse des C&C-Servers in die GPS-Koordinaten des austauschbaren Image-Dateiformats (auch als Exif bekannt) eingebettet ist. Schlägt dies fehl, wird versucht, die Domain toknowall[.]com zu erreichen, um eine Image herunterzuladen, in der der C&C-Server ebenfalls in die Datei eingebettet ist. Schlagen diese beiden Versuche fehl, wird ein Listener geöffnet, der alle eingehenden Pakete auf ein speziell präpariertes TCP-Paket überwacht, das die IP-Adresse des C&C-Servers enthält.

Bild 1. Funktionsweise von VPNFilter dem Cisco Talos-Report zufolge

Seit VPNFilter 2018 viel Aufmerksamkeit erregte, wurden auch mehrere Taktiken zur Abwehr verwendet. Angesichts aller Maßnahmen, die zur Unterbindung der Malware ergriffen wurden, stellt sich daher die Frage, warum es immer noch Infektionen gibt. In der Erklärung des FBI zum Zeitpunkt der Entdeckung wurde Benutzern geraten, potenziell betroffene Geräte neu zu starten, um die Malware vorübergehend zu unterbrechen. Durch den Neustart des Routers würden die Benutzer im Wesentlichen die aktuelle Malware der ersten und dritten Stufe entfernen, so die ersten Untersuchungsergebnisse von Cisco Talos. Dennoch bleiben Restinfektionen bestehen, d. h. der ursprüngliche Listener, der von der Malware der ersten Phase eingerichtet wurde.

Trend Micros Whitepaper „Worm War: The Botnet Battle for IoT Territory“ untersucht das Verhalten von Botnets, die Infektionen durch andere Botnets zu entfernen, und zeigt auf, wie einfach diese IoT-Geräte kompromittiert werden können. Es scheint, dass Bedrohungsakteure zu den Wenigen gehören, die Zugang zu einigen dieser Systeme haben und die Malware-Typen wie VPNFilter entfernen. Diese Art von Zugriff steht offensichtlich nicht allen Benutzern zur Verfügung. Die Empfehlung des FBIs beispielsweise, Geräte neu zu starten, ist daher nicht für jeden praktikabel. Viele Benutzer haben Router, die von ihrem ISP bereitgestellt wurden und die daher oft keinen Login-Zugang zum Router besitzen. Infolgedessen können sie ohne die Erlaubnis ihres ISP die Firmware nicht aktualisieren, um die neuesten Sicherheitslücken zu beheben. Dies ist genau der Grund, warum das FBI mit Shadowserver zusammengearbeitet hat, um zusätzliche Sicherheit gegen das Botnet hinzuzufügen.

Doch gibt es auch Beispiele von Anbietern, die Updates veröffentlicht und Anleitungen zur Beseitigung der Infektion geliefert haben. Netgear und MikroTik erwa erklärten, dass ein Upgrade der Firmware, die Auswirkungen der Malware beseitigt und weitere Infektionen verhindert. Dennoch fanden die Forscher keine Organisation im IoT-Bereich, die sich verpflichtet hat, Schwachstellen und Infektionen zu bereinigen. Aufgrund des Fehlens einer Standardgruppe oder eines Mechanismus für Updates müssen die Besitzer dieser IoT-Geräte oft manuell auf die Website ihres Anbieters gehen, eine Firmware-Datei herunterladen und sie dann auf das Gerät hochladen. Nur sehr wenige scheinen über automatische Firmware-Update-Verfahren zu verfügen. Diese Beobachtungen veranlassten die Forscher dazu, die folgenden Fragen in Bezug auf die verbliebenen VPNFIlter-Infektionen zu stellen:

  • Wieviele Opfer haben ihre Router Firmware aktualisiert?
  • Wieviele Opfer haben ihre infizierten Router in den letzten zwei Jahren ersetzt?
  • War VPNFilter eine der Infektionen, die von anderen Malware-Akteuren beseitigt wurde?
  • Gibt es immer noch infizierte Geräte?

Shadowserver Sinkhole

Die Shadowserver Foundation ist eine gemeinnützige Sicherheitsorganisation, deren Mission darin besteht, „ das Internet sicherer zu machen, indem Schwachstellen, bösartige Aktivitäten und aufkommende Bedrohungen ans Licht gebracht werden“. Seit Kurzem hat Trend Micro eine Partnerschaft mit Shadowserver und unterstützt finanziell deren Anliegen in den nächsten drei Jahren. Im Rahmen dieser Partnerschaft und angesichts der Arbeit, die Cisco Talos, das FBI und das US-Justizministerium (mit Unterstützung von Shadowserver) bereits in der Vergangenheit geleistet haben, um die zweite Domain von VPNFilter (toknowall[.]com) unbrauchbar zu machen (Sinkhole), wollte Trend Micro mit Shadowserver zusammenarbeiten, um Daten aus allen verfügbaren Statistiken zu sammeln, z. B. dazu, wie viele Infektionen noch im Umlauf sind. Außerdem wollten Forscher Möglichkeiten zur Beseitigung von übriggebliebenen VPNFilter-Infektionen vorschlagen. Dies ist von besonderer Bedeutung, da die Säuberung dieser Geräte für Endanwender alles andere als trivial ist. Das ist genau der Grund, warum es für diese Organisationen so wichtig war, die Sinkhole-Aktion überhaupt durchzuführen.

Als Shadowserver die Sinkhole-Operation startete, fanden sie einen ersten Spitzenwert von mehr 14.000 Netzwerken, die in den ersten zwei Monaten infiziert worden waren. Im Laufe der Zeit wurden die Infektionen auf 5.447 reduziert.

Dies zeigt, dass selbst nach über zwei Jahren die Anzahl der Infektionen immer noch beträchtlich ist. Besonders bemerkenswert ist, dass bei dieser Rate die Infektionen wahrscheinlich noch jahrelang vorhanden sein werden, bis die Geräte vielleicht ausgetauscht werden – ein häufiger Trend in IoT-Botnets. Dies deckt sich nicht nur mit dem Hauptargument von Trend Micro, dass IoT-Botnets bis zu einem gewissen Grad nahezu „nicht zu säubern“ sind, sondern macht VPNFilter auch zu einem Botnet, das reif für die Übernahme durch einen anderen Bedrohungsakteur ist.

Bild 2. Verbleibende Infektionen nach Ländern

Alle technischen Details zur Analyse beinhaltet der Originalbeitrag.

Ergebnisse

Die Infektionen scheinen von den USA angeführt zu werden, gefolgt von Russland. Das zeigen die Standortdaten der Hosts, die auf Trend Micros Sinkhole-Server zugriffen.

Bild 3. Hosts, die das Paket geparst haben und sich mit dem Sinkholed C&C von Trend Micro in Verbindung setzten

Obwohl nur 363 Netzwerke Verbindung zurück zu Trend Micros Sinkhole herstellten, kann man nicht davon ausgehen, dass die 1.801 Netzwerke, die eine erste positive Antwort gaben, sauber sind. Möglicherweise war die Verbindung zum Sinkhole blockiert, falls sie hinter einer Firewall stehen. Diese 363 Netzwerke können von jedem übernommen werden, der weiß, wie die Malware funktioniert. Aus technischer Sicht gab es nichts, was die Übernahme dieser Geräte hätte verhindern können. Außerdem sind die ursprünglichen Akteure zu jedem Zeitpunkt in der Lage, die Kontrolle über die bereits infizierten Geräte zu übernehmen.

Fazit und Empfehlungen

Auch wenn bereits Lösungen eingesetzt werden, die die Effizienz von VPNFilter heruntersetzen, reicht es nicht aus, einen Neustart der Geräte zum Schutz durchzuführen. Es ist zwar unwahrscheinlich, dass sich ein böswilliger Akteur noch auf den infizierten Systemen befindet, aber die Malware kann dennoch potenziell negative Auswirkungen haben. Mit ein wenig Verständnis kann ein anderer Akteur das Botnet reaktivieren. Das ist genau der Grund, warum Trend Micro mit Shadowserver zusammengearbeitet hat, um das Sinkhole der zweiten Stufe mit einem gültigen Image zu aktualisieren, um zu verhindern, dass die Malware in den Abhörmodus übergeht, der in der dritten Phase der ersten Stufe auftritt.

Ein Firmware Update würde das Problem ebenfalls in den Griff bekommen, doch wie bereits erwähnt, ist dies in den meisten Fällen problematisch. Die größten Hürden bestehen darin, zu überprüfen, ob die Firmware-Datei legitim ist, und zu verstehen, wie man die Updates auf das System überträgt. Dies setzt natürlich voraus, dass der Benutzer überhaupt Zugriff auf den Router hat, um Upgrades durchzuführen, und dass der Hersteller des Geräts ein Upgrade für sein Modell bereithält. In vielen Fällen war der Nutzer nicht selbst für die Einrichtung des Geräts verantwortlich, sondern jemand anderes, z. B. die Firma, bei der er es gekauft hat, oder sein Internetanbieter. Erschwerend kommt hinzu, dass die Beschaffung eines neuen Routers problematisch sein kann, wenn der Benutzer nicht Eigentümer des Routers ist, so dass er möglicherweise auf die Bereitstellung eines neuen Routers durch seinen ISP warten muss.

Der künftige Ansatz wäre, das Sinkhole mit den von den Sicherheitsforschern implementierten Fixes am Laufen zu halten. Dies schränkt die Fähigkeit dieser speziellen Malware ein, wieder aktiv zu werden. Während dieser Zeit könnten Geräte auf natürliche Weise mit einer normalen Nutzungsdauer offline gehen.

Gewöhnliche Nutzer können ebenfalls ihren Teil dazu beitragen, dass das IoT sicher ist. Dazu gehört in erster Linie, Angriffsflächen im Internet einzuschränken, das heißt in den meisten Fällen Deaktivierung aller Remote-Managementoptionen in der Konfiguration, sowie von Universal Plug-and-Play (UPnP). Dieses Setting könnte Services im Internet ohne Wissen der Nutzer exponieren.

Auch die Anwendung von allgemeinen Security Practices kann IoT-Malware-Infektionen verhindern helfen. Gerade heutzutage mit der Verlängerung des Homeoffice-Setups sollten Nutzer ihre derzeitigen Sicherheitsmaßnahmen überprüfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.