Zerstörerische und MiTM Fähigkeiten von VPNFilter Malware Entdeckt

Es hat sich herausgestellt, dass die Bedrohung durch die massive VPNFilter Botnet Malware, die Ende letzten Monats entdeckt wurde, weitaus größer ist, als wir zuerst gedacht

haben.Sicherheitsexperten von der Talos Cyberabwehr bei Cisco haben heute mehr Details über die VPNFilter Malware aufgedeckt, eine fortgeschrittenen IoT Botnet Malware, die mehr als 500.000 Router in mindestens 54 Ländern infiziert hatte und den Angreifern erlaubte, User auszuspionieren und zerstörerische Cyberaktionen auszuführen.

Die ursprüngliche Annahme war, dass die Malware Router und mit dem Netzwerk verbundene Speicher von Linksys, MikroTik, NETGEAR, und TP-Link befällt, aber eine genauere Analyse der Experten zeigt, dass VPNFilter auch Geräte hackt, die von ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL, und ZTE hergestellt wurden.

„Zuerst einmal haben wir festgestellt, welche Geräte das Ziel dieser Bedrohung sind, inklusive von einigen Herstellern, die neu auf der Zielliste sind. Diese Hersteller sind betroffen. Außerdem wurden weitere Geräte entdeckt von Linksys, MikroTik, Netgear, und TP-Lin,“ so die Experten.

Um die Geräte von den oben aufgezählten Herstellern zu befallen, verlässt sich die Malware einfach auf öffentlich bekannte Schwachstellen oder nutzt Standard-Zugriffsdaten, statt Zero-Day Schwachstellen auszunutzen.

VPNFilter ’ssler‘ — Man-in-the-Middle Angriffsmodul

Ansonsten haben die Experten hauptsächlich technische Detail über ein neues Stage 3 Modul mit dem Namen „ssler“ bekannt gegeben, welches ein fortschrittlicher Netzwerk Paket-Sniffer ist, der es Hackern nach der Installation erlaubt, Datenverkehr, der durch einen infizierten Router geleitet wird, abzupassen und schädliche Payloads durch Man-in-the-Middle Angriffe zu übertragen.

„Ssler Modul bietet die Möglichkeit zur Datenausfilterung und zum Einfügen von Java Script indem sämtlicher Datenverkehr, der durch das Gerät geht und über Port 80 läuft, abgefangen wird,“ sagen die Experten .

Dieses Third-Stage Modul ermöglicht es der Malware auch, eine dauerhafte Präsenz auf einem infizierten Gerät zu haben, selbst nach einem Reboot.

Das ssler Modul ist dafür gemacht, speziell zugeschnittene, schädliche Payloads für bestimmte Geräte zuzustellen, die mit dem infizierten Netzwerk verbunden sind, indem es eine Liste an Parametern nutzt, die das Verhalten des Moduls definiert und auf welche Webseiten abgezielt werden soll.

Diese Parameter beinhalten Einstellungen um den Speicherort auf dem Gerät festzulegen, wo gestohlene Daten gespeichert werden, die Quell- und Ziel-IP-Adresse um iptable Regeln aufzustellen, sowie die URL, für die die Einfügung von Java Script gedacht ist.

Um das Paket-Sniffing für alle ausgehenden Webanfragen auf Port 80 einzurichten, konfiguriert das Modul id iptables des Geräts direkt nach seiner Installation, um allen Datenverkehr für Port 80 auf seinen lokalen Service auf Port 8888 umzuleiten.

„Um sicherzustellen, dass diese Regeln nicht entfernt werden, löscht ssler sie ungefähr alle vier Minuten und fügt sie neu hinzu,“ erklären die Experten.

Um HTTPS Anfragen abzufangen, nutzt das ssler Modul auch einen SSLStrip Angriff, d.h. es reduziert HTTPS Verbindungen zu HTTP und zwingt dadurch die betroffenen Webbrowser über Klartext HTTP zu kommunizieren.

VPNFilter ‚dstr‘ — Geräte-Zerstörungs-Modul

Wie in unserem vorhergehenden Artikel berichtet, hat VPNFilter auch eine zerstörerische Funktion (dstr Modul), die dazu verwendet werden kann, ein infiziertes Gerät unbrauchbar zu machen, indem Dateien gelöscht werden, die für die normale Gerätenutzung notwendig sind.

Die Malware löst einen Killswitch für Router aus, wobei sie erst sich selbst zerstört, bevor die übrigen Dateien auf dem System [genannt vpnfilter, security und tor] gelöscht werden, vermutlich in einem Versuch, seine Anwesenheit bei nachfolgenden Überprüfungen zu verstecken.

Diese Fähigkeit kann für einzelne, betroffenen Geräte ausgelöst werden, oder en Masse, wodurch potentiell der Internetzugriff von hunderttausenden an Opfern weltweit abgeschnitten werden könnte.

Einfach Deinen Router Rebooten ist Nicht Genug

Trotz der Tatsache, dass das FBI ein Schlüsselkommando und Kontrollserver direkt nach der Entdeckung von VPNFilter beschlagnahmt hat, bleibt das Botnet immer noch aktiv durch sein flexibles, mehrstufiges Design.

Stufe 1 der Malware kann einen Reboot überleben und gewinnt dadurch einen dauerhaften Halt auf dem infizierten Gerät, was den Start der Malware der Stufen 2 und 3 ermöglicht. Also, jedes Mal, wenn ein infiziertes Gerät neu gestartet wird, werden Stufen 2 und 3 auf dem Gerät neu installiert.

Das bedeutet, dass selbst nachdem das FBI dein Haupt C&C Server von VPNFilter beschlagnahmt hat, bleiben hunderttausende mit der Malware infizierte Geräte höchst wahrscheinlich mit Stufe 1 infiziert, die später die Stufen 2 und 3 installiert.

Deshalb ist rebooten alleine nicht genug, um die VPNFilter Malware von infizierten Geräten zu entfernen, und User von Endnutzer Routern, Switches und Speichergeräten, die am Netzwerk angeschlossen sind, müssen zusätzliche Maßnahmen ergreifen, die von Modell zu Modell unterschiedlich sind. Dazu sollten Router-Besitzer den Hersteller kontaktieren.

Für einige Geräte könnte ein Reset des Routers auf Werkseinstellungen die potentiell zerstörerische Malware entfernen, und auch Stufe 1 entfernen, während andere Geräte mit einem einfachen Reboot gefolgt von Aktualisierung der Firmware bereinigt werden können.

Wie ich schon öfter gesagt habe, und merkt es euch nochmal: Wenn dein Router keine Updates erhalten kann, wirf ihn weg und kauf einen neuen. Deine Sicherheit und Privatsphäre sind den Preis für einen Router mehr als wert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.