Wurm baut Botnetz aus DSL-Linux-Routern auf

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von TheUntouchable, 25. März 2009.

  1. TheUntouchable
    Offline

    TheUntouchable Board Guru

    Registriert:
    17. Dezember 2008
    Beiträge:
    1.476
    Zustimmungen:
    553
    Punkte für Erfolge:
    113
    Ort:
    München
    Sicherheitsexperten von DroneBL haben vor dem Wurm "Psyb0t" gewarnt. Dieser greift DSL-Router an, die mit einem Linux-Betriebssystem ausgestattet sind. Rund 100.000 Systeme sollen bereits infiziert sein.

    Der Wurm nutzt für seine Verbreitung keine Sicherheitslücke aus. Statt dessen versucht er, mit einem Dictionary-Brute Force-Angriff die Zugangsdaten herauszufinden und in das System einzudringen. Anfällig sind also Systeme mit Standard-Einstellungen oder schwachen Passwörtern.

    Die Aufgabe des Wurms ist in erster Linie der Aufbau eines Botnetzes aus den zahlreichen gekaperten Routern. Dieses kann später beispielsweise eingesetzt werden, um große Mengen Spam zu versenden oder DDoS-Angriffe gegen andere Rechner auszuführen.

    Außerdem verfügt der Schädling über ein Modul, dass per Deep Packet Inspection den Datenverkehr überwacht. So kann der Autor des Wurms Logins für verschiedene Online-Services sammeln, berichten die Sicherheitsexperten.

    Anfällig sind vor allem Router, auf denen Mipsel zum Einsatz kommt. Dabei handelt es sich um eine Devian Linux-basierte Distribution für MIPS-Prozessoren. Aber auch Systeme mit den verbreiteten Firmware-Varianten OpenWRT und DD-WRT kommen als Angriffsziele in Betracht.

    Quelle:
    http://winfuture.de/news,46114.html
     
    #1
  2. yoyo
    Offline

    yoyo Ist gelegentlich hier

    Registriert:
    25. März 2009
    Beiträge:
    60
    Zustimmungen:
    8
    Punkte für Erfolge:
    8
    AW: Wurm baut Botnetz aus DSL-Linux-Routern auf

    Rund hunderttausend Router soll Psybot unter seine Kontrolle gebracht und zu einem Bot-Netz zusammengeschlossen haben. Das berichtet der Betreiber der Web-Site DroneBL, der nach eigenen Aussagen Ziel von DDoS-Angriffen dieses Bot-Netzes wurde.

    Ein Bot-Netz, das vor allem aus Routern besteht, fällt aus dem Rahmen. Normalerweise werden vor allem PCs mit Windows versklavt, um als Zombies zu dienen. Psybot hat sich hingegen anscheinend auf kleine Netzwerk-Router für Heimanwender spezialisiert, auf denen ein Embedded Linux für MIPS-CPUs läuft.

    Laut einer Beschreibung von Terry Baume steht vor allem der Netcomm NB5 auf der Liste der bevorzugten Ziele. In einer älteren Version des DSL-Modems mit Router-Funktion war dort laut Baume unter anderem das Web-Interface und ein SSH-Zugang aus dem Internet erreichbar – und das auch noch ohne Passwort. Das wurde zwar mit einem späteren Firmware-Update behoben, aber ob das dann wirklich überall eingespielt wurde, ist fraglich.
    Einmal im System, lud der Bot eine Datei namens udhcpc.env nach /var/tmp und startete sie. Bei dem Programm handelt es sich um ein MIPSel-Binary für Linux; der Name lehnt sich an die auf Embedded-Systemen oft eingesetzte DHCP-Software udhcp an. Psybot konnte dann auch nach Systemen mit speziellen verwundbaren Versionen von phpMyAdmin und MySQL suchen, um diese zu kapern.
    Mittlerweile hat der Bot-Netz-Betreiber nach eigenen Aussagen seine Aktivitäten eingestellt – jedenfalls behauptet er das in der Status-Meldung des IRC-Channels, über den die Bots kontrolliert wurden. Nach eigenen Aussagen hatte er 80.000 Systeme unter seiner Kontrolle; DroneBL schätzte sogar hunderttausend. Auch wenn diese Angaben mit Vorsicht zu genießen sind, zeigt Psybot doch, dass das Problem von Bot-Netzen keineswegs nur auf Windows beschränkt ist. Und die Mehrzahl der betroffenen Anwender wird einen solchen Befall nie bemerken.

    Quelle:
    http://www.heise.de/security/Bot-Netz-aus-Heimnetz-Routern--/news/meldung/134992
     
    Zuletzt von einem Moderator bearbeitet: 26. März 2009
    #2

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.