Aktuell ist eine Malware im Umlauf, die eine bisher kaum gepatchte Schwachstelle im Universal Plug and Play (UPnP)-Protokoll ausnutzt. Der Schädling befällt in der Folge diverse Routermodelle und bindet diese in ein Botnetz ein. Mindestens 65.000 Geräte sind auf diesem Weg bereits gekapert worden, Millionen sind aber anfällig.
Die Entdeckung und die erste Analyse des Botnetzes geht auf den
Der eingeschleuste Code kommt hier im Wesentlichen zum Einsatz, um die NAT-Tabellen des Routers zu manipulieren. Normalerweise dienen diese dazu, eingehende Verbindungen auf der öffentlichen IP-Adresse und auf einem bestimmten Port an eine andere IP-Adresse und einen Port innerhalb des lokalen Netzwerkes weiterzureichen. Nur so werden Server-Dienste innerhaln des LANs aus dem Internet erreichbar.
Riesige Sammlung von Proxys
In diesem Fall missbrauchen die Angreifer die Funktion allerdings, um den Router als Proxy zu verwenden. Über diesen kann so Datenverkehr geleitet werden, der dann bei der eigentlichen Empfänger-Adresse als Absender das gekaperte Gerät anzeigt. Im Grunde entsteht so also eine simple Variante eines Anonymisierungs-Dienstes.
Kriminelle können ein komplettes Botnetz mit Geräten, die als Proxys dienen, in erster Linie dazu verwenden, Blockaden zu umgehen. Wenn also beispielsweise Spam verschickt werden soll, machen die meisten E-Mail-Gateways schnell die Schotten dicht, wenn zu viel Traffic von nur einer IP-Adresse kommt. Hier ließe sich das Nachrichtenaufkommen nun aber auf viele Absender aufteilen, was eine Blockade der Spam-Kampagne deutlich erschweren würde.
Quelle; winfuture
Die Entdeckung und die erste Analyse des Botnetzes geht auf den
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zurück. Dass die Router überhaupt von den Angreifern übernommen werden können, ist teils auch Schuld der Gerätehersteller selbst. Denn die Ursache ist nicht einzig die Schwachstelle im Protokoll, sondern auch dass die UPnP-Dienste bei den Systemen auch auf der WAN-Schnittstelle zum Internet angeboten werden, obwohl dies eigentlich überhaupt nicht nötig ist. Denn das Protokoll dient ja eigentlich zur leichteren Handhabung der Verbindungen innerhalb des lokalen Netzes. Der eingeschleuste Code kommt hier im Wesentlichen zum Einsatz, um die NAT-Tabellen des Routers zu manipulieren. Normalerweise dienen diese dazu, eingehende Verbindungen auf der öffentlichen IP-Adresse und auf einem bestimmten Port an eine andere IP-Adresse und einen Port innerhalb des lokalen Netzwerkes weiterzureichen. Nur so werden Server-Dienste innerhaln des LANs aus dem Internet erreichbar.
Riesige Sammlung von Proxys
In diesem Fall missbrauchen die Angreifer die Funktion allerdings, um den Router als Proxy zu verwenden. Über diesen kann so Datenverkehr geleitet werden, der dann bei der eigentlichen Empfänger-Adresse als Absender das gekaperte Gerät anzeigt. Im Grunde entsteht so also eine simple Variante eines Anonymisierungs-Dienstes.
Kriminelle können ein komplettes Botnetz mit Geräten, die als Proxys dienen, in erster Linie dazu verwenden, Blockaden zu umgehen. Wenn also beispielsweise Spam verschickt werden soll, machen die meisten E-Mail-Gateways schnell die Schotten dicht, wenn zu viel Traffic von nur einer IP-Adresse kommt. Hier ließe sich das Nachrichtenaufkommen nun aber auf viele Absender aufteilen, was eine Blockade der Spam-Kampagne deutlich erschweren würde.
Quelle; winfuture
