it-swarm.com.de

Kann ich meinen Router vor einem Mirai-Wurm schützen und woher weiß ich, ob ich verwundbar bin?

Heute wurde dieser Artikel von der BBC: Talk Talk- und Post-Office-Router, die von Cyber-Angriffen betroffen sind veröffentlicht. Es sagt aus:

Dabei wird eine modifizierte Form des Mirai-Wurms verwendet - eine Art von Malware, die über entführte Computer verbreitet wird und Schäden an Geräten verursacht, die mit dem Linux-Betriebssystem betrieben werden.

Das Lesen von Wikipedia über den Mirai-Wurm besagt, dass es wie folgt funktioniert:

Mirai identifiziert dann anfällige IoT-Geräte anhand einer Tabelle mit mehr als 60 gängigen Standardbenutzernamen und -kennwörtern und meldet sich bei ihnen an, um sie mit der Mirai-Malware zu infizieren. Infizierte Geräte funktionieren weiterhin normal, mit Ausnahme gelegentlicher Trägheit und einer erhöhten Bandbreitennutzung. Ein Gerät bleibt bis zum Neustart infiziert. Dies kann dazu führen, dass das Gerät einfach ausgeschaltet und nach einer kurzen Wartezeit wieder eingeschaltet wird. Nach einem Neustart wird das Gerät innerhalb von Minuten erneut infiziert, sofern das Anmeldekennwort nicht sofort geändert wird.

Meine Frage lautet also: Kann ich meinen Router vor dem Mirai-Wurm schützen und woher weiß ich, ob mein Router anfällig ist?

11
user1

Wie Ihr Zitat sagt; Änder das Passwort. Es wäre viel schwieriger zu beheben, wenn Mirai "tatsächliche" Schwachstellen (Softwarefehler, d. H. Speicherbeschädigung) verwenden würde. Dann müssten Sie hoffen, dass ein Update verfügbar ist, und dieses anwenden. Aber es scheint, als würde es nur Leute ausnutzen, die ihre Geräte mit dem sprichwörtlichen "Changeme" als Passwort verlassen.

16
J.A.K.

Dies kann nützlich sein, obwohl es ein wenig spezifisch für Netgear (DG834 usw.) ist: https://wiki.openwrt.org/toh/netgear/telnet.console#using_the_netgear_router_console

Einige Informationen stammen von DEFCON 2014, nachdem mein Netgear vor einigen Wochen gehackt wurde.

Das Problem ist nicht das Passwort an sich, sondern die für Telnet implementierte Hintertür. Nicht alle Implementierungen verwenden nvram, um diesen bestimmten Fix zuzulassen, aber dann haben nicht alle Implementierungen eine dumme Hintertür. Außer natürlich, dass von ISPs bereitgestellte Router notorisch anfällig für alles sind und manchmal den Benutzer daran hindern, die Situation zu korrigieren. Holen Sie sich eine neue Box.

Um Himmels willen, ändern Sie zumindest das Standardkennwort! (Gute Trauer)

Mein erster Schritt wäre, (die Einstellungen zu exportieren und) auf die neueste Firmware zu aktualisieren. Oder betrachten Sie eine der vielen Open-Source-Firmware wie dd-wrt, openwrt, pfsense usw. usw., die auf Linux oder BSD basieren.

Ändern Sie mindestens das Passwort, aber auch das Konto "admin". Auf dem alten Netgear gibt es hierfür keine grafische Benutzeroberfläche. Sie können jedoch den Namen des Administratorkontos vor dem erneuten Import in den exportierten Einstellungen bearbeiten oder Telnet über die Busybox verwenden (achten Sie jedoch auf Sonderzeichen wie>).

Einige Leute empfehlen, die Standard-IP 192.168.0.1 in etwas anderes zu ändern. Dies bedeutet natürlich, dass Sie erneut eine Verbindung zu Ihrer Hauptbox herstellen müssen, indem Sie dort auch die neue Router-IP einstellen.

Deaktivieren Sie auch das UPnP des Routers, das jeden DNS-Rebinding-Angriff verhindert, und beschränken Sie ISP-Adressen mit ipconfig (im Router) auf den vom ISP verwendeten Blockbereich. Sie können Ports auch auf diejenigen beschränken, von denen Sie wissen, dass Sie sie benötigen. Die Wartung wird jedoch schwieriger und ist rätselhaft, wenn etwas nicht funktioniert, da ein Port benötigt wird, den Sie nicht zugelassen haben.

Es ist hilfreich, auf externe Pings mit einem Drop als Standardaktion zu reagieren, damit Sie etwas verstohlener sind (die Einwahl wird komplizierter).

Testen Sie abschließend mit etwas wie https://www.grc.com/shieldsup

Ich hoffe das hilft.

3
Will LaC

Der Mirai-Wurm schafft es innerhalb eines Systems, indem er bestimmte Portnummern, auf denen Telnet ausgeführt wird, brutal erzwingt. Der Bruteforce-Angriff sucht nach allgemeinen Standardanmeldeinformationen für den Telnet-Port. Hier ist ein Bild von Mirais Benutzername/Passwort-Wörterbuch:

(Mirai Wordlists

Um diese Art von Angriff zu verhindern, können Sie einige Dinge tun.

  1. Stellen Sie sicher, dass Ihr Router mit der neuesten Firmware und Software auf dem neuesten Stand ist.
  2. Ändern Sie das Standardkennwort Ihres Routers in ein sicheres und einzigartiges Kennwort. Vermeiden Sie Passwörter in dieser Liste (oder in anderen Wortlisten, auf die Sie in dieser Angelegenheit stoßen).
  3. Überprüfen Sie, ob ein Telnet-Server, SSH oder andere RAS-Dienste ausgeführt werden. Um dies zu überprüfen, überprüfen Sie das Admin-Panel des Routers oder verwenden Sie einen Port-Scanner wie Nmap. Wenn der Remotezugriff aktiviert ist, können Sie dies je nach Einrichtung deaktivieren.

Obwohl das Mirai WOrm nur auf Geräte abzielt, auf denen Telnet-Server ausgeführt werden, ist es wichtig zu bedenken, dass wir vor dem Angriff von Typ schützen möchten, nicht vor einem Angriff von spezifisch. Daher sollten Sie andere Ports auf Ihrem Router (z. B. SSH) untersuchen, um andere Angriffe oder andere "Varianten" zukünftiger Mirai-Würmer zu verhindern.

Eine Fallstudie mit weiteren Informationen zum Mirai-Wurm finden Sie hier , wenn Sie interessiert sind.

1
Gavin Youker

Auf Ihrem Router werden keine nach außen gerichteten (WAN) Dienste ausgeführt. Portscannen Sie Ihre eigene IP mit einem Online-Portscanner oder machen Sie es selbst mit zenmap. die Flags sS -Pn -oN scan.txt -pT:1-65535 -vv T4 -n yourIP zeigt Ihnen, welche Dienste geöffnet sind. Überprüfen Sie alle offenen Dienste mit -sV oder amap verwenden. Deaktivieren Sie IPv6 und UPnP im Allgemeinen, es sei denn, Sie verwenden diese Dinge. Wenn nötig, installieren Sie OpenWRT oder DDWRT über die Standard-Firmware, die ziemlich zuverlässig und sicher ist. IIRC Morai-Malware greift bestimmte Gerätetypen an, nicht große SoHo-Router wie ZyXEL usw.

Sie können mit hydra und einer guten Router-Wortliste nach Standardanmeldeinformationen für SSH, Telnet usw. suchen (verwenden Sie Google, um eine zu finden).

1
user400344