Abo
  • IT-Karriere:

Router-Malware: VPN Filter bricht HTTPS-Verbindungen auf

Die Router-Malware VPN Filter kann mehr als bislang angenommen. Die Software soll neben einem Selbstzerstörungsmodul auch eines zum Aufbrechen verschlüsselter Verbindungen haben.

Artikel veröffentlicht am ,
Ein Router von Netgear
Ein Router von Netgear (Bild: Pixabay/CC0 1.0)

Eine Malware, die sich auf mindestens 500.000 Routern weltweit eingenistet hat, soll ein deutlich umfangreicheres Spektrum an Funktionen bieten als bislang bekannt. Ciscos Talos-Team glaubt nach weiteren Analysen, dass die infizierten Geräte per Man-in-the-Middle-Angriff verschlüsselte Verbindungen attackieren können.

Stellenmarkt
  1. DPD Deutschland GmbH, Aschaffenburg, Hamburg Kehrwieder
  2. GoDaddy, Ismaning

Cisco beschreibt mehrere neue Module der Malware, die nach einer Infektion nachgeladen werden. Das bestätigt die These eines umfassenden, professionell gesteuerten Angriffs. Diese Module sind vermutlich nicht auf allen der 500.000 infizierten Geräte aktiv, sondern werden zur Spionage oder zur weiteren Kompromittierung infizierter Personen oder Unternehmen ausgenutzt.

Das Modul ssler wird genutzt, um Webseiten, wenn möglich, den HTTPS-Schutz zu entziehen und bösartigen Code unterzuschieben. Webseiten können dem Einsatz von HSTS entgegenwirken. Der Befehl dst verändert dabei Einstellungen der Iptables-Firewall und kann diese auf bestimmte IP-Adressen anwenden. Mit dump werden alle HTTP-Header durchlaufender Domains abgespeichert. Mit site können bestimmte Webseiten für die Injektion von Javascript markiert werden, mit hook wiederum wird die Zieladresse des Payloads bestimmt.

Modul als Selbstzerstörungsknopf

Ein weiteres Modul mit dem Namen dstr kann genutzt werden, um das infizierte Gerät betriebsunfähig zu machen. Dazu werden zahlreiche Dateien gelöscht, die für einen ordnungsgemäßen Betrieb notwendig sind. Unter anderem werden die auf dem Gerät abgelegten Client-Zertifikate gelöscht. Ebenfalls möglich ist die Installation eines Paket-Sniffers.

Von der Malware befallen sind zahlreiche Geräte der Hersteller Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, Qnap, TP-Link, Ubiquiti, Upvel und ZTE. Cisco bietet eine vollständige Übersicht aller bekannten Geräte am Ende dieses Blogposts an. Auf einigen Routern soll die Malware Persistenz erlangen können, also auch einen Reboot der Geräte überleben. Im Zweifel sollten Kunden bei den Herstellern der Geräte nach Instruktionen oder Updates fragen.

Zu den Kommentaren springen
Meistgelesen
  1. Webentwicklung
    Hertz verklagt Accenture wegen unfertiger neuer Webseite
  2. Elektroautos
    Tesla macht hohe Verluste
  3. Galaxy-Fold-Pleite
    Leises Kichern in Shenzhen
  4. Amazon
    Alexa-Mitarbeiter hatten Zugriff auf persönliche Kundendaten
  5. Microsoft
    Absatz von Windows erholt sich
Anzeige
Top-Angebote
  1. 799,90€
  2. (u. a. Guild Wars 2 - Path of Fire 15,99€, PUBG Survivor Pass 3 6,99€, Die Sims 4 10,99€)
  3. (aktuell u. a. NZXT H500 Overwatch Special Edition Gehhäuse 129,90€, NZXT RGB Kit 79,90€)
  4. (Monitore ab 147,99€ und Laptops ab 279,00€)
Kommentarübersicht
Re: Richtigstellung Bild?
Bizzi 08. Jun 2018

Hauptsache es sieht nach etwas aus!

Re: symbolbild: das ist ein switch, kein router
Bizzi 08. Jun 2018

Hauptsache es sieht nach etwas aus!

Das Internet ist für uns alle Neuland
k2r 07. Jun 2018

auch für Golem, bzw. die Redakteure, die die Bilder auswählen.

Re: Clickbait...
derdiedas 07. Jun 2018

Für Man in the Middle reicht schon ein SoC - die Verschlüsselung wird ja nicht geknackt...

Re: kein Aufbrechen von HTTPS sondern sslstrip, d...
narfomat 07. Jun 2018

gute info danke, genau das hab ich mir naemlich auch gedacht...

Folgen Sie uns
       
Huawei P30 Pro - Hands on

Das P30 Pro ist Huaweis jüngstes Top-Smartphone, das erstmals mit einem Teleobjektiv mit Fünffachvergrößerung kommt. Im ersten Kurztest macht die Kamera mit neu entwickeltem Bildsensor einen guten Eindruck.

Huawei P30 Pro - Hands on Video aufrufen
AdBlocker
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

    Anno 1800
    Anno 1800 im Test: Super aufgebaut
    Anno 1800 im Test
    Super aufgebaut

    Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
    Von Peter Steinlechner

    1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
    2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
    3. Systemanforderungen Anno 1800 braucht schnelle CPU
    IT-Jobs
    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /