Nieuwe feature Win32/Sality malware past primaire DNS aan
Het al sinds 2003 bestaande Win32/Sality heeft zijn toevlucht genomen tot een nieuwe brute-force methode om toegang te verkrijgen tot routers met makkelijk te raden logingegevens. Win32/Sality is een vorm van malware die met behulp van een peer-to-peer botnet werkt. De malware is door de jaren heen voor veel verschillende doeleinden gebruikt waaronder het vervalsen van reclame netwerkverkeer en DDos aanvallen. De afgelopen jaren nam het aantal computers geïnfecteerd door Win32/Sality af.
Omdat de bestaande methoden van Win32/Sality waarschijnlijk niet meer voldoende waren om het botnet in leven te kunnen houden hebben de bedenkers nu een nieuwe component toegevoegd genaamd Win32/RBrute.A. Het component scant het internet en zoekt naar router configuratie-interfaces. Vervolgens probeert het met behulp van een korte lijst van gebruikersnamen en wachtwoorden in te loggen, aldus Benjamin Vanheuverzwijn.
De targets zijn 14 routers van TP-Link , 3 van D-Link , 2 van ZTE en 1 van Huawei. Wanneer er succesvol wordt ingelogd wordt de default DNS, het systeem dat verantwoordelijk is voor het vertalen van domeinnamen naar IP-adressen, aangepast.
Door de eigen kwaadaardige DNS-server te gebruiken bepaalt de aanvaller vanaf dat moment waar het slachtoffer op het internet terecht komt. Zelfs als de juiste domeinnaam wordt ingetypt.
In dit geval stuurt Win32/Sality het slachtoffer naar een nep download pagina voor Google Chrome als men naar een domein surft waar de woorden "facebook" of "google" in voorkomen. De aanvallers hopen dan dat het slachtoffer de browser “Chrome” download wat in werkelijkheid natuurlijk Win32/Sality is. Wanneer de computer eenmaal geïnfecteerd is met Win32/Sality verandert de malware de default DNS weer naar "8.8.8.8", het IP-adres van de gratis Public DNS service van Google.
Het is nog te bezien of de nieuwe tactiek van Win32/Sality op de lange termijn effectief zal zijn aangezien steeds meer router configuratie-interfaces niet meer via het internet bereikbaar zijn. “De beste oplossing voor het probleem is natuurlijk nog altijd het standaard wachtwoord van de router veranderen" aldus Vanheuverzwijn.
Helaas zijn er in het werelddeel waar ik woon veel providers die de default username / password combinatie niet veranderen wanneer ze routers bij klanten plaatsen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
