image

DNS-malware wijzigt wereldwijd instellingen routers

zaterdag 30 mei 2015, 06:59 door Redactie, 7 reacties

Onlangs liet een bekende beveiligingsonderzoeker weten dat kwetsbaarheden in populaire routers actief door malware worden aangevallen, maar ook zwakke en standaardwachtwoorden blijken een manier te zijn waardoor aanvallers de controle over de apparaten krijgen. Anti-virusbedrijf Trend Micro waarschuwt voor DNS-changer malware. De malware voert vanaf het interne netwerk van de gebruiker brute force-aanvallen op de beheerdersinterface van de router uit.

Vervolgens worden de DNS-instellingen aangepast. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS van de router aan te passen kunnen criminelen het verkeer van gebruikers via hun server laten lopen. De meeste besturingssystemen zijn zo ingesteld om de DNS-instellingen van de router te gebruiken. Zodra een computer of ander apparaat verbinding met de router maakt, zullen de aangepaste DNS-instellingen worden gebruikt. Hierdoor kunnen aanvallers gebruikers van de aangevallen router naar bijvoorbeeld phishingsites doorsturen of malware laten downloaden.

"Aangepaste DNS-instellingen houden in dat gebruikers niet weten of ze naar betrouwbare of nagemaakte websites navigeren", zegt Fernando Merces. Hij merkt op dat gebruikers die het standaardwachtwoord van de router niet hebben aangepast met name risico lopen. De aanval begint via een phishingaanval, die naar een pagina met een script wijst. Dit script voert vervolgens vanaf het interne netwerk de brute force-aanval op de router uit. Doordat het de browser is die het script uitvoert, wordt het verkeer naar de router als een intern verzoek beschouwd.

Het script dat de aanvallers gebruiken probeert zowel het IP-adres als het wachtwoord van de router te raden. Het script ondersteunt verschillende modellen en fabrikanten, onder andere TP-Link en D-Link. De aanvallen lijken vooral op Brazilië gericht, waar 88,3% van de aangevallen apparaten werd waargenomen, gevolgd door de VS (2,9%) en Japan (1,3%). Gebruikers krijgen het advies om voor alle accounts op de router veilige wachtwoorden te gebruiken, het standaard IP-adres te wijzigen en de beheer op afstand-features uit te schakelen. Daarnaast wordt Firefox NoScript aangeraden, dat het uitvoeren van scripts in de browser kan blokkeren.

Reacties (7)
30-05-2015, 08:13 door Anoniem
Dat laatste advies is niet zo zinvol. Als ik NoScript volledig actief houd als ik mijn router probeer te benaderen, kom ik er domweg niet bij...
30-05-2015, 10:27 door Anoniem
Door Anoniem: Dat laatste advies is niet zo zinvol. Als ik NoScript volledig actief houd als ik mijn router probeer te benaderen, kom ik er domweg niet bij...

Het is een uitstekend advies.

U moet voor uw router een (eventueel tijdelijke) uitzondering maken, dus NIET NoScript uitzetten zoals ik veel te veel mensen zie doen. (En vervolgens vergeten het weer aan te zetten.)

Nog beter is het om alleen voor de echt gebruikte pagina(s) in uw router een uitzondering te maken.
Dat ziet er bij mij, voor de "geavanceerde" usb instellingen, zo uit: "http://192.168.2.1/UI/advanced_usb.html"

Vergeet ook niet om back-ups van uw routerinstellingen te maken.

Bij een aanval maakt u de internetverbinding van uw router los.
Druk 20 sec. op reset om de fabrieksinstellingen terug te zetten.
Als u niets gewijzigd had is dit voldoende.
En of zet de back-up terug.

Wijzig het password !!
Maak een nieuwe, incrementele, back-up.
30-05-2015, 10:40 door Erik van Straten
Door Anoniem: Dat laatste advies is niet zo zinvol. Als ik NoScript volledig actief houd als ik mijn router probeer te benaderen, kom ik er domweg niet bij...
Klopt, maar als ik op mijn router thuis inlog, zet ik noscript tijdelijk aan. Een beetje vervelend maar eigenlijk een kleine moeite.

Maar of dat bij iedereen helpt is de vraag, want afgelopen week zijn er weer heel wat kwetsbaarheden (ook andere dan hierboven beschreven) gepubliceerd:
https://packetstormsecurity.com/files/132092/D-Link-Devices-UPnP-SOAPAction-Header-Command-Execution.html
https://packetstormsecurity.com/files/132074/22-SOHO-Router-Vulnerabilities-Discovered.html
https://packetstormsecurity.com/files/132075/D-Link-Bypass-Buffer-Overflow.html

P.S. ik moest mandatory OCSP checks uitzetten wegens "OCSP old response" van packetstormsecurity.com.
30-05-2015, 11:04 door Anoniem
Door Erik van Straten:
Door Anoniem: Dat laatste advies is niet zo zinvol. Als ik NoScript volledig actief houd als ik mijn router probeer te benaderen, kom ik er domweg niet bij...
Klopt, maar als ik op mijn router thuis inlog, zet ik noscript tijdelijk aan. Een beetje vervelend maar eigenlijk een kleine moeite.

Zelf heb ik NoScript altijd aan staan en maak ik hoogstens tijdelijke uitzonderingen.

Maar jij hebt NoScript dus altijd UIT staan, maar om op je router komen, zet je NoScript tijdelijk AAN.

Vertel...
30-05-2015, 11:40 door Anoniem
Door Anoniem: Dat laatste advies is niet zo zinvol. Als ik NoScript volledig actief houd als ik mijn router probeer te benaderen, kom ik er domweg niet bij...

Je kunt je de URL naar je router in de toestemmingenlijst van NoScript zetten.
30-05-2015, 12:42 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Dat laatste advies is niet zo zinvol. Als ik NoScript volledig actief houd als ik mijn router probeer te benaderen, kom ik er domweg niet bij...
Klopt, maar als ik op mijn router thuis inlog, zet ik noscript tijdelijk aan. Een beetje vervelend maar eigenlijk een kleine moeite.

Zelf heb ik NoScript altijd aan staan en maak ik hoogstens tijdelijke uitzonderingen.

Maar jij hebt NoScript dus altijd UIT staan, maar om op je router komen, zet je NoScript tijdelijk AAN.

Vertel...
Oops sorry, dat heb onduideljk geschreven 8^/

Inderdaad staat NoScript bij mij altijd aan, en voor een zeer beperkt aantal sites maak ik permanente uitzonderingen (Javascript toestaan dus). Voor andere "sites", inclusief routers en andere apparatuur, maak ik inderdaad tijdelijke uitzonderingen.

Dat is vooral belangrijk bij apparatuur waar ik met mijn notebook op basis van een, niet uniek RFC 1918 adres, op in moet loggen (ik kom nogal eens "buiten de deur").

Dank voor de correctie!
01-06-2015, 10:38 door Anoniem
kies gewoon een paar goede uit die aan aan je wensen voldoen en die je dan overal in kan stellen.
http://wiki.opennicproject.org/Tier2
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.