Aufstand der Router - Hinter den Kulissen eines Router-Botnets - DD-WRTs und Dreambox

    Aufstand der Router

    Hinter den Kulissen eines Router-Botnets

    Was bislang nur theoretisches Angriffsszenario war, ist jetzt Realität: Manipulierte WLAN-Router spähen ihre Nutzer aus und übertragen vertrauliche Daten geradewegs an Cyber-Kriminelle. c’t hat ein Router-Botnet analysiert und gemeinsam mit dem Landeskriminalamt Niedersachsen vom Netz genommen.
    Es ist das fast perfekte Cyber-Verbrechen: Hacker haben auf etlichen Routern ein Schnüffelprogramm installiert, das Zugangsdaten aus dem Netzwerkverkehr extrahiert und an zentrale Sammelstellen überträgt. Die Infektion betrifft alle Geräte, die über den manipulierten Router ins Internet gehen: Computer, Tablets und sogar Smartphones. Kein Virenscanner kann vor dem trojanisierten Router schützen.

    Manipuliert wurde unter anderem der Linksys-Router WRT54G.
    Die manipulierten Router führen ein Doppelleben: Während sie weiterhin, wie vom Besitzer gewohnt, das lokale Netz mit Internet versorgen, läuft auf ihnen ein Schnüffeltool, das den durchgeleiteten Internetverkehr kontinuierlich nach Zugangsdaten durchforstet. Der oder die Täter hatten es vor allem auf die Router-Firmware DD-WRT abgesehen, die auf ein Linux-Fundament aufsetzt und für die Geräte etlicher Hersteller angeboten wird (siehe c‘t-Link). Einige Router, etwa solche von Buffalo, werden mit vorinstalliertem DD-WRT ausgeliefert, viele andere kann man damit nachrüsten.
    Wie die meisten Router machen sich auch die mit DD-WRT ausgestatteten Exemplare nicht deutlich genug bemerkbar, wenn eine neue Firmware-Version zur Installation bereitsteht. Da ist es kaum verwunderlich, dass die Router-Software in den meisten Fällen nur selten oder gar nicht aktualisiert wird – mit der Folge, dass Sicherheitslücken über Jahre hin unbehandelt bleiben. Diese klaffen in einem System, das dem Internet schutzlos ausgeliefert ist.

    Allein in Deutschland antworten tausende DD-WRT-Router auf Anfragen aus dem Internet.
    Im aktuellen Fall haben die Eindringlinge wahrscheinlich eine bereits seit dem Jahr 2009 bekannte Schwachstelle ausgenutzt, die laut den DD-WRT-Entwicklern kurz nach dem Entdecken geschlossen wurde. Die Lücke befindet sich im Webserver, der das Webinterface des Routers ausliefert. Über eine speziell präparierte HTTP-Abfrage kann ein Angreifer beliebige Shell-Befehle einschleusen. Ausnutzen lässt sich die Lücke nur, wenn der Router so konfiguriert wurde, dass das Webinterface auch über das Internet erreichbar ist. Standardmäßig ist das nicht der Fall – trotzdem listet die Spezialsuchmaschine Shodan über 25 000 DD-WRT-Router auf, die auf Port 80 oder 8080 antworten.
    Hinter feindlichen Linen

    Der oder die Täter haben die vier Jahre alte Schwachstelle ausgenutzt, um eine manipulierte Firmware auf den Routern zu installieren. Diese wurde unter anderem um das Open-Source-Tool dsniff ergänzt, das darauf spezialisiert ist, unverschlüsselt übertragene Zugangsdaten jeglicher Art aus Netzwerkverkehr zu extrahieren. Dreh- und Angelpunkt des Angriffs sind kompromittierte Webserver, bei denen die Router regelmäßig ihre Datenbeute abliefern und frischen Schadcode abholen – vergleichbar mit dem Command-and-Control-Server eines Botnets aus Windows-Rechnern.
    Das Grundgerüst des Bots entdeckten wir in dem Skript /etc/init.d/rcS, das bei jedem Routerstart ausgeführt wird: Es pingt zunächst den DNS-Server von Google (8.8.8.8), um herauszufinden, ob eine Verbindung zum Internet besteht. Ist dies der Fall, werden weitere Skripte von kompromittierten Webservern nachgeladen. Über das Boot-Skript ermitteln die Router auch ihre externe IP-Adresse sowie das Land, indem sie sich befinden. Diese Daten fließen später in die Benennung der Beute-Dateien ein. Abschließend startet es ein Skript namens ds_mod.sh, welches das Schnüffelprogramm dsniff steuert. Für das Abliefern der Beute ist der kommandozeilenbasierte FTP-Client wput zuständig. Der Befehl, der ihn aufruft, enthält FTP-Zugangsdaten für zwei Server, die zum Zeitpunkt der Analyse gültig waren und wertvolle Hinweise lieferten. Das lässt darauf schließen, dass der oder die Täter keine allzu große Angst davor hatten, dass ihr Code im Router entdeckt wird.
    Als Datenzulieferer wurden nicht nur Router eingespannt, sondern auch einige Dreambox DVB-Receiver. Die Grundproblematik ist hier die gleiche: Die Linux-Kästchen werden häufig mit ebenso alten wie verwundbaren Firmware-Versionen betrieben, teilweise sogar mit den Standard-Zugangsdaten. Um die Aufzeichnung über das Internet programmieren zu können, richten die Besitzer im Router eine Port-Weiterleitung auf den Webserver der Dreambox ein – eine explosive Mischung. Schnüffelprogramme wie dsniff laufen auf Dreambox-Receivern und anderen Embedded-Systemen ebenso gut wie auf Routern. Zwar kommt der Internetverkehr nicht standardmäßig an diesen Geräten vorbei, mit Standardtechniken wie ARP-Spoofing kann ihn der Angreifer jedoch durch sie hindurch schleusen.
    Datenschau

    Auf den FTP-Servern befanden sich zehntausende Dateien mit gestohlenen Zugangsdaten – darunter auch etliche von deutschen Nutzern. Einige Logins waren eindeutig hiesigen Unternehmen zuzuordnen. So hat etwa ein Router in einer großen deutschen Anwaltskanzlei die Mail-Zugangsdaten aller Juristen abgegriffen. Unter diesen Voraussetzungen ist die Verschwiegenheitspflicht nach § 2 und 5 der Berufsordnung der Rechtsanwälte (BORA) kaum zu wahren. Ebenfalls betroffen ist eine Bäckereikette aus Süddeutschland. Mit den vorgefundenen Zugangsdaten konnte man auf die Bilder der in den Filialen aufgestellten Überwachungskameras zugreifen. Insgesamt fanden wir Tausende IP-Adressen, das LKA konnte darunter etwa 30 deutsche Opfer identifizieren und schriftlich warnen.
    Einer der missbrauchten FTP-Accounts gehört zu einem Webspace-Paket von Strato. Der Strato-Kunde hat unwissentlich selbst einen gehackten Router betrieben, über den der oder die Täter an die FTP-Zugangsdaten gekommen sind. Bei der zweiten Datenhalde handelt es sich um ein vergessenes Linux-System im baltischen Estland. Hier sorgte ein Skript sogar regelmäßig dafür, dass die von Routern hochgeladenen Einzeldateien zu handlichen Tar-Archiven verpackt wurden.
    Anhand der Dateiinformationen konnten wir feststellen, dass im Juli zunächst der Strato-Server genutzt wurde; im August sind der oder die Angreifer auf den estländischen Server umgestiegen. Nachdem wir das LKA über die FTP-Server informiert hatten, gingen sie innerhalb einer Woche vom Netz. Grund zur Entwarnung ist das allerdings nicht, denn der oder die Täter waren bei Redaktionsschluss noch nicht gefasst. Die polizeilichen Ermittlungen dauern allerdings noch an.
    Angriffsziel Router

    Bei dem von uns aufgedeckten, auf den Namen Linux/Flasher.A getauften Router-Botnet handelt es sich wahrscheinlich um das erste seiner Art, das hierzulande aktiv war. Es ist allerdings nur eine Frage der Zeit, bis es Nachahmer findet. Denn nach verwundbaren Routern muss man im Netz nicht lange suchen. Auch die technische Hürde ist niedrig: In den meisten Routern schlägt ein Linux-Herz, passende Schnüffelprogramme sind schnell kompiliert.

    Der Netzwerkcheck von heise Security deckt auf, auf welchen Ports Ihre externe IP-Adresse antwortet.
    Router sind die Achillesferse kleinerer Netzwerke. Beugen Sie vor, indem Sie regelmäßig überprüfen, ob die Firmware Ihres Routers auf dem aktuellen Stand ist. Liefert der Router-Hersteller trotz bekannter Schwachstellen kein Update, sollten Sie dies als Warnsignal verstehen und die Hardware austauschen. Darüber hinaus gilt mehr denn je: Ändern Sie die vom Hersteller vorgegebenen Passwörter und machen Sie so wenig Router-Dienste wie nur irgendwie möglich über das Internet erreichbar. Der Netzwerkcheck von heise Security (siehe c‘t-Link) verrät Ihnen, welche Dienste derzeit nach Internet-Anfragen lauschen.
    Wer einen DD-WRT-Router betreibt und den Verdacht hat, dass dieser mit Linux/Flasher.A infiziert ist, kann sich via SSH mit dem Gerät verbinden und mit dem Befehl ps aux | grep [d]sniff überprüfen, ob das Schnüffelprogramm ausgeführt wird. Unter dem c‘t-Link finden Sie ein Python-Skript, das diesen Job weitestgehend automatisch erledigt. Darüber hinaus sollten Sie das Startskript des Routers mit cat /etc/init.d/rcS nach Auffälligkeiten durchsuchen. ("[email protected]")


    ----------------------------
    Quelle: Hinter den Kulissen eines Router-Botnets | c't

    Krass. Wußte erstmal nicht, wieviele Router unter DD-WRT laufen und das es Leute gibt, die Ihre Dreambox inklusive WebIF voll im Netz stehen haben ...
    CS war gestern, heute ist die Dream Teil des Bot-Netzes ... :D

    Und du willst gar nicht die ganzen Backtunnel Möglichkeiten der ISP-Modem/Router wissen..

    Die Router von AON/A1 in AT waren ja offen wie ein Scheunentor.. Da sind sogar IPs eingetragen, welche immer VOLLEN Zugriff haben?!

    Es gibt sogar Router welche UPnP so fehlerhaft haben, dass die sogar von außen reagieren.. Und bei der ganzen Closed Source Kacke, kann man sowieso nicht wissen, was die in Wirklichkeit machen.. (DD-WRT ist da so ein Kandidat).

    tja, das sehe ich anders.
    Man muss halt ab und an den Router updaten. Genau wie jedes andere Gerät, welches über einen dauerhaften Zugang zum Internet verfügt.
    Immer noch besser als die ISP router....
    Jeder ist ja in der Lage seinen Router zu penetrieren. Es gibt genug Seiten im Netz, die diesen Service anbieten.

    na, DD-WRT hatte im Jahr 2009 mal Probleme, wie im Übrigen Fritze und 100 andere Modelle. sinf die deshalb alle schlecht?

    Nein, wie immer sitzt das Problem 60cm vor dem Bildschirm.

    DD-WRT muss man wie alles halt updaten, Ihr lasst ja auch keine Fritzbox auf uralter Firmware laufen....

    Nur leider gibt es für manche Modelle keine Firmware mehr, weil eben closed Source und neue Modelle nachziehen, die dann eine höhere Priorität haben,logisch, der Hersteller will verkaufen.
    Nicht jeder Hersteller gibt wie SVM auch für alte Router noch Updates raus, aber DD-WRT,Tomato und wie sie alle heissen reagieren auf Lücken sehr schnell, deshalb verstehe ich hier das eine oder andere Post nicht wirklich

    Eine Fritzbox weist aber den User wenigstens noch beim einloggen ins Webif auf eine neue Firmware hin. Das ist bei DD-WRT nicht der Fall.
    DD-WRT ist grundsätzlich nicht verkehrt, wenn man weiß, was man tut und regelmäßige Updates durchführt. Nur welcher 0815 User macht das in der Realität?

    Ein User von golem.de schreibt folgendes...

    Das stimmt. Bei mir läuft DD-WRT auf einem Linksys WRT54GL. Ich habe diesen Router vor Urschleimzeiten gekauft, gerade weil er seinerzeit besonders gut geeignet für DD-WRT war, ich dessen Funktionalität benötigte und die Gefahr des Brickens nicht scheute. Und ich behaupte mal frech, Ahnung sei bei mir vorhanden, dennoch...

    auch wenn ich jetzt geradezu herausfordere, dass Klugscheißerman und Rechthabewoman im Besserwissercopter vorbeigeflogen kommen, gebe ich zu, dass ich in die Falle getappt bin. Da ich zum Kauf des Routers eben auch die Funktionalität benötigte, Änderungen der Portweiterleitungen aus der Ferne vornehmen zu können, habe ich das Remoteinterface aktiviert. Anfangs schaute ich auch regelmäßig nach Firmwareupdates. Dann gingen aber bereits nach kurzer Zeit Projekte zuende, neue fingen an und der Bedarf an Remote Administration für den Router schlich ebenso aus wie die Erinnerung daran, dass ich selbiges überhaupt aktiv hatte, oder das Bemühen, die Firmware aktuell zu halten.

    Und nun las ich den c't-Artikel und stellte bei einer Überprüfung fest, dass meine Firmware laut DD-WRT-Datenbank von Anfang 2009, laut Selbstauskunft von 2008 und damit höchstwahrscheinlich betroffen ist. Und ich sah mit Erschrecken, dass ich auch das Remoteinterface an hatte. Nun, ich kam nochmal mit dem Schrecken davon, der Trojaner war nicht zu finden. Manchmal hat man halt auch mehr Glück als Verstand.

    Das Remoteinterface konnte ich umgehend deaktivieren, es besteht ja aktuell kein Bedarf. Und bei der Gelegenheit wollte ich natürlich auch gleich mein Versäumnis der fehlenden Updates nachholen. Doch siehe da: Ein Blick auf die Firmwaredatenbank von DD-WRT offenbarte: Was bei mir läuft, ist die letzte stabile Version. Danach kamen noch ein paar mittlerweile auch steinalte Betas und das war's. Kurzum: Selbst eine tägliche Kontrolle auf Updates hätte mir einfach mal einen feuchten Ihrwisstschon gebracht. Und wenn ich Remote Administration noch bräuchte, müsste ich das ansonsten voll funktionstüchtige Teil halt auf den Elektronikschrott werfen.

    Kurzum: Erstens macht jeder mal Fehler, darum wäre auch für Router ein automatischer Updatemechanismus oder ein Erinnerungssystem dringend nötig, und zweitens nützt das aber rein gar nichts, wenn es keine Updates gibt. Und die sind weder von kommerzieller noch - wie man sieht - von Open-Source-Seite garantiert.

    Tja, auch hier der Fehler:
    Wer tatsächlich dauernd Remote Funktion benötigt, macht das besser über einen VPN Tunnel und nicht "offen" über das I-Net.
    Dann ist auch ein offener Port für VPN kein Problem. Die Remote Funktion ist ein "Ausnahme" Feature und sollte nur kurzfristig aktiviert sein.
    Wenn man sein Haus permanent nicht abschliesst, kann man später nicht der Haustechnik die Schuld zuschieben, wenn Fremde reinspazieren....

    Wie sicher ist denn VPN? Was ist z.B. bei den Fritzen eingebaut?

    Das was Reppo aus Golum wiedergegeben hat ist das eigentliche Problem.
    Die DD-WRT Firmware bekommt doch schon seit Jahren keine Updates mehr. Gibt es das Projekt so überhaupt noch?
    Oder evtl. eine Alternative?

    Ich selbst habe auch mehrere solche Geräte im Einsatz. Allerdings nicht als Router, sondern hinter einem Router als WLan Accesspoint oder Wlan Bridge.

    [Off Topic=on]
    Wie schauts denn mit der Datenübertragung über VPN aus?
    was kann den eine Fritzbox denn über eine VPN an Max Datenrate senden?

    also ich persönlich verwende seit 4 Jahren SSH als Tunnel.
    kann alles Mappen über SSH, und vor allem habe ich meinen eigenen 256bit AES Key selbst generiert, den ich dann benötige um den Tunnel erst aufbauen zu können!
    und habe somit die Volle Bandbreite was mein DSL hergibt zur verfügung!
    [Off Topic=off]
    allerdings ist es schon ein wenig leichtsinnig überhaupt ein Port aufzumachen, mal ganz abgesehen von Upnp!

    desweiteren ist es beim Speedport Leihgerät nicht mal gestattet ( laut AGB´s der T-Kom) die Automatische einstellungen für den ISP des Routers zu unterdrücken!

    cu Oschy

    Zitat von speedygonzales;513959

    Für SSH brauchst aber auch einen Port der dann weitergeleitet wird auf einen SSH-Server im Netz, oder wie funktioniert das?


    Jepp , sagen wir der Port 25638 ziegt auf den SSH Port (22) des Servers.
    Und danach einfach so Konfiguriert:
    SSH-Login mit Schlüsseldatein | splitt-it.de

    Edit:
    Danach kann ich mit nem SSH Tunnel mich im Kompletten Netzwerk bewegen..
    bedeutet zwar immer ein Wenig Konfiguration.
    (also nicht so wie beim VPN Tunnel, der dich ja mit einer IP Adresse ins interne Netzwerk befördert, sondern die IPadresse:Ports, müssen von Hand eingetragen werden)

    allerdings hab ich mit VPN eh meine Probleme, (/16 Netz)
    wenn ich also in einem Privaten Netz unterwegs bin ( zB 192.168.xxx.xxx) wird das VPN nicht geroutet, da ich mich ja schon in nem /24 er Netz befinde!

    cu Oschy

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden