Microsoft ontwikkelt tool voor het scannen van MikroTik-routers op malware
Microsoft heeft een tool ontwikkeld waarmee het mogelijk is om MikroTik-routers op malware te scannen. Het gaat dan specifiek om de Trickbot-malware die onder andere een hoofdrol bij een aantal grote ransomware-incidenten speelde. Trickbot kan allerlei data en inloggegevens van besmette systemen stelen, maar wordt ook vaak gebruikt voor het installeren van andere malware.
Net als allerlei andere malware maakt Trickbot gebruik van command & control (C2)-servers voor het aansturen van besmette machines. Om detectie van de malware en C2-servers te voorkomen zet Trickbot besmette MikroTik-routers in als proxy. Zodoende loopt het verkeer via een ander ip-adres, wat detectie kan bemoeilijken. Microsoft zegt dat het onlangs ontdekte hoe MikroTik-apparaten binnen de C2-infrastructuur van Trickbot worden gebruikt. Deze informatie werd vervolgens gebruikt voor het ontwikkelen van een scantool waarmee Trickbot-infecties op MikroTik-routers zijn te detecteren.
Voor het compromitteren van MikroTik-routers maken de aanvallers gebruik van drie methodes, namelijk standaard MikroTik-wachtwoorden, bruteforce-aanvallen, waarbij ook unieke wachtwoorden werden gebruikt die waarschijnlijk van andere MikroTik-routers afkomstig zijn en als laatste een vier jaar oude kwetsbaarheid. Via dit beveiligingslek, aangeduid als CVE-2018-14847, kan een aanvaller willekeurige bestanden op de router uitlezen, waaronder het bestand dat de wachtwoorden bevat.
Naast het ontwikkelen van een scantool voor het vinden van Trickbot-malware geeft Microsoft ook advies voor het verwijderen van een besmetting wanneer die wordt aangetroffen, alsmede maatregelen om toekomstige aanvallen te voorkomen. Zo moeten gebruikers het standaardwachtwoord door een sterk wachtwoord vervangen, toegang tot poort 8291 vanaf het internet blokkeren, het standaard poortnummer van SSH wijzigen, de laatste firmware installeren en een VPN voor remote beheer en toegang gebruiken.
Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???
Iemand?
Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???
er is helemaal geen auto-update tenzij je daar zelf een script voor verzint en er op zet.
Als ze dat wel hadden was dit probleem er niet, maar dan was er weer het probleem van de (hier) over elkaar heen
vallende deskundigen die menen dat zij beter updates kunnen installeren dan zo'n automatische updater.
Of whatever reden ze gaan aanvoeren.
En dan is er nog de firewall, die default toegang tot de admin interface vanaf internet tegenhoudt, maar die schakelen
mensen uit want ze willen met hun telefoon op afstand hun router beheren, ofzo.
Iemand?
Dan moet je op die groene knop CODE klikken en dan kun je het downloaden, ofwel als git clone ofwel als zip file.
Dat zet je dan lokaal ergens neer, en onder al die mappen staat de handleiding wat je dan verder moet doen.
Het tooltje gaat er vanuit dat je het IP adres, usernaam en wachtwoord van de router weet en dan gaat ie een paar
dingen checken. Het is dus niet een "zoek naar vulnerable routers" tooltje ofzo.
De meest recente versies van RouterOS doen dit overigens zelf al. Maar ja het is bedoeld voor mensen die niet updaten.
Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???
Kleine organisatie, met een goedwillende windows beheerder en niemand die de router snapt of durft aan te raken.
Dat soort plaatsen zijn er veel - en daar zijn installatie tools (of scan tools) gewoon erg welkom.
Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???
Kleine organisatie, met een goedwillende windows beheerder en niemand die de router snapt of durft aan te raken.
Dat soort plaatsen zijn er veel - en daar zijn installatie tools (of scan tools) gewoon erg welkom.
Dan zullen ze het wel eerst als een Windows package moeten releasen want nu is het een tooltje geschreven in python
en beschikbaar als git clone of zip download, daar ga je die plekken niet mee bereiken.
Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???
Kleine organisatie, met een goedwillende windows beheerder en niemand die de router snapt of durft aan te raken.
Dat soort plaatsen zijn er veel - en daar zijn installatie tools (of scan tools) gewoon erg welkom.
Dan zullen ze het wel eerst als een Windows package moeten releasen want nu is het een tooltje geschreven in python
en beschikbaar als git clone of zip download, daar ga je die plekken niet mee bereiken.
Ah, goed punt.
Ja, dan is het een leuk startpunt voor iemand die een stuk verder gevorderd is om makkelijk te scannen , maar inderdaad geen optie voor de shops waar de admins beperkt zijn tot "install and click" software.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
