Besmette advertenties wijzigen dns-instellingen routers
Internetcriminelen maken gebruik van besmette advertenties op legitieme websites om de dns-instellingen van routers en andere opties te wijzigen. De aanvallen richten zich op Chrome-gebruikers op Android en Windows. Zodra de besmette advertentie door de browser is geladen proberen de aanvallers via cross site request forgery (csrf) of andere exploits toegang tot de router te krijgen.
Vervolgens worden de dns-instellingen van de router aangepast. Bij een aantal routers proberen de aanvallers ook de beheerpoorten voor externe adressen toegankelijk te maken. Daardoor loopt de router ook risico om bijvoorbeeld door de Mirai-malware te worden aangevallen. Volgens onderzoekers van beveiligingsbedrijf Proofpoint is de motivatie van de aanvallers om de dns-instellingen aan te passen niet altijd duidelijk, maar zou in dit geval worden geprobeerd om verkeer van een aantal grote advertentiebedrijven te stelen zoals OutBrain en Propellerads. De advertenties die gebruikers te zien krijgen kunnen door de dns-aanpassing bijvoorbeeld worden vervangen of zich anders gedragen.
De exploitkit die de aanvallers gebruiken zou inmiddels 166 exploits bevatten, waarbij sommige exploits voor meerdere routermodellen werken. Een jaar geleden bevatte de exploitkit nog 55 exploits. Het gaat onder andere om routers van Netgear, D-Link, en Comtrend die worden aangevallen. Ten opzichte van vorig jaar wordt nu ook geprobeerd de beheerpoorten van de routen open te zetten en werken de besmette advertenties op Androidtoestellen. Volgens de onderzoekers is er geen eenvoudige manier om dit soort aanvallen te voorkomen. Het installeren van de laatste router-updates is de belangrijkste manier om exploits te voorkomen. Ook het veranderen van de lokale ip-reeks kan helpen. De onderzoekers stellen echter dat veel doorsnee gebruikers dit soort zaken niet uitvoeren.
"Als aanvallers de dns-server op een netwerk beheren, hebben ze de mogelijkheid om allerlei aanvallen uit te voeren op apparaten die met het netwerk verbinding te maken. Het kan gaan om fraude met internetbankieren, man-in-the-middle-aanvallen, phishing, advertentiefraude en meer. In dit geval laat de exploitkit aanvallers de dns-server op de internetrouter veranderen. Om dit soort aanvallen te voorkomen moeten routerfabrikanten regelmatig hun firmware patchen en gebruikers deze patches installeren", zo concluderen de onderzoekers.
Alle DNS traffic m.u.v. een kleine whitelist naar de eigen resolver sturen bijvoorbeeld.
Koop een Fritz-box, deze wordt actief door de fabrikant ondersteund. Oh wacht, die is ietsje duurder dan de concurrentie.
Sorry, er zijn geen oplossingen. /sarc
1) Zorg dat de beheer-interface (GUI, de webpagina's van de router) niet toegankelijk is vanaf WAN-zijde (publiek internet);
2) Wijzig het standaard beheerwachtwoord en, in de thuissituatie, schrijf dat rustig op een sticker onderop de router (samen met het WiFi wachtwoord (dat je natuurlijk ook gewijzigd hebt);
3) Zorg dat je slechts 1 browservenster en tab hebt openstaan als je inlogt op de router en idem gedurende de werkzaamheden daarop. Gebruik, als jouw browser dat ondersteunt, een "private tabblad" hiervoor;
4) Laat NOOIT je webbrowser jouw wachtwoorden onthouden;
5) Log actief uit van je router als je klaar bent daarop;
6) Controleer dat je niet zonder inloggen bij de routerinstellingen kunt komen. Lukt dat wel, gooi dan je hele browserhistorie weg (als daarna sites niet meer zo werken als eerst, had jouw browser potentieel vertrouwelijke gegevens van jou bewaard, en dat is een risico).
1) Zorg dat de beheer-interface (GUI, de webpagina's van de router) niet toegankelijk is vanaf WAN-zijde (publiek internet);
2) Wijzig het standaard beheerwachtwoord en, in de thuissituatie, schrijf dat rustig op een sticker onderop de router (samen met het WiFi wachtwoord (dat je natuurlijk ook gewijzigd hebt);
3) Zorg dat je slechts 1 browservenster en tab hebt openstaan als je inlogt op de router en idem gedurende de werkzaamheden daarop. Gebruik, als jouw browser dat ondersteunt, een "private tabblad" hiervoor;
4) Laat NOOIT je webbrowser jouw wachtwoorden onthouden;
5) Log actief uit van je router als je klaar bent daarop;
6) Controleer dat je niet zonder inloggen bij de routerinstellingen kunt komen. Lukt dat wel, gooi dan je hele browserhistorie weg (als daarna sites niet meer zo werken als eerst, had jouw browser potentieel vertrouwelijke gegevens van jou bewaard, en dat is een risico).
Wat je daarna nog moeilijk kunt voorkomen, zijn lekken en kwetsbaarheden die de fabrikant (nog) niet heeft gepatcht en toegang verschaft tot de DNS-instellingen.
Koop een Fritz-box, deze wordt actief door de fabrikant ondersteund. Oh wacht, die is ietsje duurder dan de concurrentie.
Sorry, er zijn geen oplossingen. /sarc
Kun je dan niet beter een vergiet kopen, dat is veiliger en stukken goedkoper dan een Fritzbox...
Ik ben niet altijd positief over de Fritz!box maar heel veel dingen hebben zij wel goed voor elkaar. Een wachtwoord moet je instellen tijdens of na de herstart na het instellen en daar kom je zover ik weet niet omheen.
Als je wachtwoorden laat onthouden in jouw browser dan ben je zelf weer verantwoordelijk en moet je niet zeiken als dit misbruikt wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
