image

Besmette advertenties wijzigen dns-instellingen routers

woensdag 14 december 2016, 12:12 door Redactie, 7 reacties

Internetcriminelen maken gebruik van besmette advertenties op legitieme websites om de dns-instellingen van routers en andere opties te wijzigen. De aanvallen richten zich op Chrome-gebruikers op Android en Windows. Zodra de besmette advertentie door de browser is geladen proberen de aanvallers via cross site request forgery (csrf) of andere exploits toegang tot de router te krijgen.

Vervolgens worden de dns-instellingen van de router aangepast. Bij een aantal routers proberen de aanvallers ook de beheerpoorten voor externe adressen toegankelijk te maken. Daardoor loopt de router ook risico om bijvoorbeeld door de Mirai-malware te worden aangevallen. Volgens onderzoekers van beveiligingsbedrijf Proofpoint is de motivatie van de aanvallers om de dns-instellingen aan te passen niet altijd duidelijk, maar zou in dit geval worden geprobeerd om verkeer van een aantal grote advertentiebedrijven te stelen zoals OutBrain en Propellerads. De advertenties die gebruikers te zien krijgen kunnen door de dns-aanpassing bijvoorbeeld worden vervangen of zich anders gedragen.

De exploitkit die de aanvallers gebruiken zou inmiddels 166 exploits bevatten, waarbij sommige exploits voor meerdere routermodellen werken. Een jaar geleden bevatte de exploitkit nog 55 exploits. Het gaat onder andere om routers van Netgear, D-Link, en Comtrend die worden aangevallen. Ten opzichte van vorig jaar wordt nu ook geprobeerd de beheerpoorten van de routen open te zetten en werken de besmette advertenties op Androidtoestellen. Volgens de onderzoekers is er geen eenvoudige manier om dit soort aanvallen te voorkomen. Het installeren van de laatste router-updates is de belangrijkste manier om exploits te voorkomen. Ook het veranderen van de lokale ip-reeks kan helpen. De onderzoekers stellen echter dat veel doorsnee gebruikers dit soort zaken niet uitvoeren.

"Als aanvallers de dns-server op een netwerk beheren, hebben ze de mogelijkheid om allerlei aanvallen uit te voeren op apparaten die met het netwerk verbinding te maken. Het kan gaan om fraude met internetbankieren, man-in-the-middle-aanvallen, phishing, advertentiefraude en meer. In dit geval laat de exploitkit aanvallers de dns-server op de internetrouter veranderen. Om dit soort aanvallen te voorkomen moeten routerfabrikanten regelmatig hun firmware patchen en gebruikers deze patches installeren", zo concluderen de onderzoekers.

Reacties (7)
14-12-2016, 13:45 door Anoniem
Dit kan de ISP natuurlijk voorkomen door filtering en/of redirecting van DNS packets.
Alle DNS traffic m.u.v. een kleine whitelist naar de eigen resolver sturen bijvoorbeeld.
14-12-2016, 14:16 door Anoniem
Ja, er is wel een oplossing.

Koop een Fritz-box, deze wordt actief door de fabrikant ondersteund. Oh wacht, die is ietsje duurder dan de concurrentie.

Sorry, er zijn geen oplossingen. /sarc
14-12-2016, 14:16 door Erik van Straten - Bijgewerkt: 14-12-2016, 14:18
Volgens de onderzoekers is er geen eenvoudige manier om dit soort aanvallen te voorkomen.
Onzin!
1) Zorg dat de beheer-interface (GUI, de webpagina's van de router) niet toegankelijk is vanaf WAN-zijde (publiek internet);
2) Wijzig het standaard beheerwachtwoord en, in de thuissituatie, schrijf dat rustig op een sticker onderop de router (samen met het WiFi wachtwoord (dat je natuurlijk ook gewijzigd hebt);
3) Zorg dat je slechts 1 browservenster en tab hebt openstaan als je inlogt op de router en idem gedurende de werkzaamheden daarop. Gebruik, als jouw browser dat ondersteunt, een "private tabblad" hiervoor;
4) Laat NOOIT je webbrowser jouw wachtwoorden onthouden;
5) Log actief uit van je router als je klaar bent daarop;
6) Controleer dat je niet zonder inloggen bij de routerinstellingen kunt komen. Lukt dat wel, gooi dan je hele browserhistorie weg (als daarna sites niet meer zo werken als eerst, had jouw browser potentieel vertrouwelijke gegevens van jou bewaard, en dat is een risico).
14-12-2016, 15:01 door Anoniem
Door Erik van Straten:
Volgens de onderzoekers is er geen eenvoudige manier om dit soort aanvallen te voorkomen.
Onzin!
1) Zorg dat de beheer-interface (GUI, de webpagina's van de router) niet toegankelijk is vanaf WAN-zijde (publiek internet);
2) Wijzig het standaard beheerwachtwoord en, in de thuissituatie, schrijf dat rustig op een sticker onderop de router (samen met het WiFi wachtwoord (dat je natuurlijk ook gewijzigd hebt);
3) Zorg dat je slechts 1 browservenster en tab hebt openstaan als je inlogt op de router en idem gedurende de werkzaamheden daarop. Gebruik, als jouw browser dat ondersteunt, een "private tabblad" hiervoor;
4) Laat NOOIT je webbrowser jouw wachtwoorden onthouden;
5) Log actief uit van je router als je klaar bent daarop;
6) Controleer dat je niet zonder inloggen bij de routerinstellingen kunt komen. Lukt dat wel, gooi dan je hele browserhistorie weg (als daarna sites niet meer zo werken als eerst, had jouw browser potentieel vertrouwelijke gegevens van jou bewaard, en dat is een risico).
7) Zet PnP uit.

Wat je daarna nog moeilijk kunt voorkomen, zijn lekken en kwetsbaarheden die de fabrikant (nog) niet heeft gepatcht en toegang verschaft tot de DNS-instellingen.
14-12-2016, 15:21 door Anoniem
Locaal je dns settings met Norton ConnectSafe is wellicht een optie.
14-12-2016, 18:03 door Anoniem
Door Anoniem: Ja, er is wel een oplossing.

Koop een Fritz-box, deze wordt actief door de fabrikant ondersteund. Oh wacht, die is ietsje duurder dan de concurrentie.

Sorry, er zijn geen oplossingen. /sarc

Kun je dan niet beter een vergiet kopen, dat is veiliger en stukken goedkoper dan een Fritzbox...
15-12-2016, 08:42 door Anoniem
Met een vergiet kun je niet internetten.....

Ik ben niet altijd positief over de Fritz!box maar heel veel dingen hebben zij wel goed voor elkaar. Een wachtwoord moet je instellen tijdens of na de herstart na het instellen en daar kom je zover ik weet niet omheen.

Als je wachtwoorden laat onthouden in jouw browser dan ben je zelf weer verantwoordelijk en moet je niet zeiken als dit misbruikt wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.