Abo
  • IT-Karriere:

Router-Malware: VPN Filter bricht HTTPS-Verbindungen auf

Die Router-Malware VPN Filter kann mehr als bislang angenommen. Die Software soll neben einem Selbstzerstörungsmodul auch eines zum Aufbrechen verschlüsselter Verbindungen haben.

Artikel veröffentlicht am ,
Ein Router von Netgear
Ein Router von Netgear (Bild: Pixabay/CC0 1.0)

Eine Malware, die sich auf mindestens 500.000 Routern weltweit eingenistet hat, soll ein deutlich umfangreicheres Spektrum an Funktionen bieten als bislang bekannt. Ciscos Talos-Team glaubt nach weiteren Analysen, dass die infizierten Geräte per Man-in-the-Middle-Angriff verschlüsselte Verbindungen attackieren können.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. über unternehmensberatung monika gräter, Raum Mühldorf / Inn

Cisco beschreibt mehrere neue Module der Malware, die nach einer Infektion nachgeladen werden. Das bestätigt die These eines umfassenden, professionell gesteuerten Angriffs. Diese Module sind vermutlich nicht auf allen der 500.000 infizierten Geräte aktiv, sondern werden zur Spionage oder zur weiteren Kompromittierung infizierter Personen oder Unternehmen ausgenutzt.

Das Modul ssler wird genutzt, um Webseiten, wenn möglich, den HTTPS-Schutz zu entziehen und bösartigen Code unterzuschieben. Webseiten können dem Einsatz von HSTS entgegenwirken. Der Befehl dst verändert dabei Einstellungen der Iptables-Firewall und kann diese auf bestimmte IP-Adressen anwenden. Mit dump werden alle HTTP-Header durchlaufender Domains abgespeichert. Mit site können bestimmte Webseiten für die Injektion von Javascript markiert werden, mit hook wiederum wird die Zieladresse des Payloads bestimmt.

Modul als Selbstzerstörungsknopf

Ein weiteres Modul mit dem Namen dstr kann genutzt werden, um das infizierte Gerät betriebsunfähig zu machen. Dazu werden zahlreiche Dateien gelöscht, die für einen ordnungsgemäßen Betrieb notwendig sind. Unter anderem werden die auf dem Gerät abgelegten Client-Zertifikate gelöscht. Ebenfalls möglich ist die Installation eines Paket-Sniffers.

Von der Malware befallen sind zahlreiche Geräte der Hersteller Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, Qnap, TP-Link, Ubiquiti, Upvel und ZTE. Cisco bietet eine vollständige Übersicht aller bekannten Geräte am Ende dieses Blogposts an. Auf einigen Routern soll die Malware Persistenz erlangen können, also auch einen Reboot der Geräte überleben. Im Zweifel sollten Kunden bei den Herstellern der Geräte nach Instruktionen oder Updates fragen.



Anzeige
Top-Angebote
  1. 49,90€
  2. 89,90€ (Versandkostenfrei!)
  3. (u. a. Forza Horizon 4 Xbox One/Windows 10 für 34,49€, F1 2019 Legends Edition für 38,99€)
  4. (aktuell u. a. Netzteile von Thermaltake ab 44,99€, AMD Ryzen 7 2700 für 189,90€, Corsair K70...

Bizzi 08. Jun 2018

Hauptsache es sieht nach etwas aus!

Bizzi 08. Jun 2018

Hauptsache es sieht nach etwas aus!

k2r 07. Jun 2018

auch für Golem, bzw. die Redakteure, die die Bilder auswählen.

derdiedas 07. Jun 2018

Für Man in the Middle reicht schon ein SoC - die Verschlüsselung wird ja nicht geknackt...

narfomat 07. Jun 2018

gute info danke, genau das hab ich mir naemlich auch gedacht...


Folgen Sie uns
       


Red Magic 3 - Test

Das Red Magic 3 richtet sich an Gamer - dank der Topausstattung und eines Preises von nur 480 Euro ist das Smartphone aber generell lohnenswert.

Red Magic 3 - Test Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    WD Blue SN500 ausprobiert: Die flotte günstige Blaue
    WD Blue SN500 ausprobiert
    Die flotte günstige Blaue

    Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
    Von Marc Sauter

    1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
    2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
    3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

    Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
    Ocean Discovery X Prize
    Autonome Fraunhofer-Roboter erforschen die Tiefsee

    Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
    Ein Bericht von Werner Pluta

    1. JAB Code Bunter Barcode gegen Fälschungen

      •  /