Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 107 reacties

Beveiligingsonderzoekers hebben een wormprogramma ontdekt dat zich niet richt op pc's, maar op modems en routers. Volgens de onderzoekers is het de eerste keer dat er malware is aangetroffen die zich op deze apparaten richt.

Onderzoekers van DroneBL, dat zich bezighoudt met het opsporen van geïnfecteerde computers, kwamen het programma op het spoor toen ze zelf werden getroffen door een ddos-aanval. 'Psyb0t', zoals de worm is genoemd, richt zich op routers en modems die mipsel-Linux gebruiken en via telnet, ssh of http geconfigureerd kunnen worden. De worm probeert een lijst met veelgebruikte wachtwoorden uit om shell-toegang te krijgen. Is dit eenmaal gelukt, dan kopieert hij zichzelf naar het apparaat en sluit vervolgens de toegang tot de configuratie-interface af.

De worm kan ddos-aanvallen uitvoeren, zoeken naar kwetsbare phpMyAdmin-scripts en MySQL-databases en wachtwoorden achterhalen via deep packet inspection. Omdat de meeste gebruikers er niets van zullen merken dat hun router of modem besmet is geraakt, beschouwen de onderzoekers de worm als zeer gevaarlijk. Ze verwachten in de toekomst meer malware die zich op routers richt. Het verwijderen van de worm uit een geïnfecteerd apparaat is volgens DroneBL overigens eenvoudig: kortstondig de stroom afsluiten moet volstaan. Om nieuwe besmettingen te voorkomen, wordt aanbevolen om de laatste firmware-updates van de fabrikant te installeren en veilige wachtwoorden te kiezen.

Hacker
Moderatie-faq Wijzig weergave

Reacties (107)

Is er al een lijst bekend van modems/routers die vatbaar zijn voor deze worm?

Volgens de bron:
Vulnerable devices

* any linux mipsel routing device that has the router administration interface or sshd or telnetd in a DMZ, which has weak username/passwords (including openwrt/dd-wrt devices).
* possibly other
en dit stond op wikipedia:
MIPS implementations are currently primarily used in many embedded systems such as the Series2 TiVo, Windows CE devices, Cisco routers, residential gateways, Foneras, Avaya, and video game consoles like the Nintendo 64 and Sony PlayStation, PlayStation 2, and PlayStation Portable handheld system. Until late 2006 they were also used in many of SGI's computer products. MIPS implementations were also used by Digital Equipment Corporation, NEC, Siemens Nixdorf, Tandem and others during the late 1980s and 1990s.
gelukkig genereer ik meestal een password voor mijn routers :)
http://www.google.nl/search?q=online+password+generator

[Reactie gewijzigd door Drexz op 24 maart 2009 10:58]

ze hebben het over mips-linux in het artikel, en cisco routers draaien altijd nog IOS
Die Linksys dingetjes niet. Die hebben uClinux aan boord.
Dat zie je verkeerd d linksys, belkin, netgear, asus routers heeft gewoon een normale 2.4 kernel(standaard fabrieks firmware) bij openwrt/dd-wrt kan je nog eens kiezen voor 2.4 of 2.6 kernels. Dus totaal geen uclinux.
niet als je er iets als dd-wrt ofzo opzet :P
Dan nog word het geen uclinux het blijft gewoon de "normale" kernel.
Aangezien de Lynksys routers tegenwoordig ook als Cisco gebrand worden, zijn er dus ook "Cisco" routers die vulnerable zijn.
Eender welke router met linuxgebaseerde firmware die een web-, telnet- of ssh daemon draait. Onder andere de populaire wrt54g routers vallen hieronder.
Ik dacht echter dat de wrt54g routers standaard niet via de internet kant te bereiken waren. Dus dan valt het gevaar voor de huis-tuin en keuken gebruiker die het standaard wachtwoord "admin" er nog op hebben staan wel mee.

Ik mag hopen dat de mensen die bewust de interface aan de internetkant aanzetten toch hun wachtwoord wel wijzigen.
De aanval gebeurt ook niet aan de WAN-kant. Je surft als gebruiker naar een malafide site, waarna de worm op jouw PC draait. Deze installeert dan op je router en sluit netjes af, zodat je niets merkt.
Eigenlijk is dat kinderlijk simpel: gewoon met javascript 2 onzichtbare iframes o.i.d. neerzetten:
http://192.168.1.1
http://192.168.1.254
response analyseren, naar Ajax opsturen, default wachtwoord opzoeken, en je bent binnen. Zet de remote-port open (weer url via webservice ophalen), en je kan doen wat je wilt.
'Helaas' laten vele brouwsers dit niet meer toe om een iframe wat op een ander domein draait via javascript te benaderen en/of uit te lezen.
Ok maar dan is het dus niet puur een worm op routers en modems. Er is dus altijd tussenkomst van een PC nodig om een router/modem te infecteren.

Dat maakt het gevaar IMHO toch wel wat kleiner. Een virus wat zich automatisch over internet zou verspreiden zelfs als geen pc's aan staan, zou toch wel erg bedreigend zijn.
Het is niet duidelijk of de verspreiding gebruikt maakt van PC's. Daarmee komt de worm op de lijst van PC malware met alle publiciteit en tegenmaatregelen die daarvoor gelden. Het lijkt erop dat de worm juist geen PC platform gebruikt. Dan blijft dus alleen de WAN kant over om binnen te komen. Geen PC exploit nodig, dus relatief onzichtbaar. Niet alle modem/routers zullen remote toegang open hebben staan, maar toch genoeg om een groot botnet te maken.
Hmm, ik had juist begrepen dat de aanval aan de WAN-kant gebeurt. DroneBL zegt ook specifiek dat de worm geen PC als target heeft.
alleen MIPSEL zijn vulnerable...

Foneras gebruiken MIPS en geen MIPSEL.... groot verschil!
Foneras konden dus niet besmet worden met dit virus
Het erge hieraan is dat er apparatuur geinfecteerd kan worden, zonder dat de slachtoffers dat weten. En het zou ng moeilijker zijn om weg te halen (als het daadwerkelijk in het systeem zit). :(
Dit is net zoals een virus dat het werkende OS als virtual client heeft. Om het te kunnen oplossen, moet je eerst langs de virus, die zichzelf daarin kan infecteren en je dus wr zit met een geinfecteerde oplossing. |:(

Nu zijn deze worms voor routers/modems en een VM server virus erg ingewikkeld om te maken, dus nu zal de veiligheid nog meevallen. Maar over enkele jaren zijn ze verder ontwikkeld en kan het dus wel erg worden. :X

Een geinfecteerde router, je upload een nieuw firmware en geeft aan deze te installeren. Echter, dat commando wordt ondervangen door de virus, die de nieuwe firmware (weer) infecteerd, waardoor je dus nog steeds met een geinfecteerde PC zit.
En met EFI (voor werkstations/server/desktops) zou je daar ook een startup systeem kunnen installeren. Is die geinfecteerd, dan start dus eerst een virus op, die daarna je normale systeem opstart. Voordat je die kunt verwijderen, moet je ook eerst langs de EFI die de nieuwe firmware kan infecteren. ergo, weer (nog steeds) geinfecteerd.

De hardware fabrikanten moeten dus heel hard dingen gaan verzinnen om dat goed te beveiligen. Maar... wat als de firmware van de fabrikant al geinfecteerd is... :+
hardware-switch die omgezet moet worden voor je de rom kan beschrjven?
knap virus die daar omheen komt
dat komt ook voor met usb sticks.

http://news.softpedia.com...ted-USB-Stick-82772.shtml

en ik meen me te herinneren dat er een tijd terug ook hier op tweakers een bericht heeft gestaan over geinfecteerde usb sticks van een bekend merk
Heeft iemand een lijst met die standaard wachtwoorden? Dit puur om zelf er achter te komen hoe kwetsbaar mijn router is. Ik weet dat ik namelijk niet het beste wachtwoord heb, maar het is tevens ook ZEKER niet een default wachtwoord.
Maar ook wel weer een die vast vaker gebruikt wordt :|
De Default Password List is voor mij al jaren onmisbaar bij het fixen van netwerken van familieleden :)
Dikke kans dat deze worm gebruik maakt van onder andere deze lijst.

Edit: Deze lijst is gewoon de eerste hit op Google als je zoekt naar 'default password'. Lijkt me reden genoeg om je router wachtwoord nooit op default te laten staan.

[Reactie gewijzigd door Mattiwatti op 24 maart 2009 11:02]

Die lijstjes zijn er vast wel, maar om dat nu weer hier neer te gooien lijkt me ook niet echt slim.
Die lijstjes zijn er vast wel, maar om dat nu weer hier neer te gooien lijkt me ook niet echt slim.
Security through obscurity wordt hier niet beloond.
Pak de handleiding van je router er maar bij ;)
Maar dingen als admin, system, user etc. etc. zijn heel standaard. Je achternaam met je huisnummer ook, maar voor een virus veel moelijker te raden.
Nou ja, hij zou naar je comp naam kunnen kijken en dan gewoon 1-100 kunnen invullen. Dus ook daar is wel iets voor te vinden ;)
Je begrijpt dat ik niet zo'n lijst met standaard wachtwoorden naar je door kan sturen vanwege potentieel misbruik, maar als je me je wachtwoord geeft controleer ik wel of ie op de lijst staat.
@EvilWhiteDragon: De WRT54* serie van Linksys heeft negen van de tien de combinatie user (blank) en password admin. Enjoy. Over je wachtwoord, gebruik speciale tekens en cijfers. :)
De meeste gebruikers weten niet eens dat het mogelijk is om iets te installeren op een modem of router. En die zullen dan het gevaar ook niet zien. Verder weten de meeste mensen niet eens hoe ze een router moeten updaten.

Ik zou het zelf niet eens weten of er een update voor mijn standaard provider router bestaat.

Nu ik dit net gepost heb realiseer ik me dat, mijn router meerdere malen is geupdate door de provider. Inclusief 1 keer zonder dat ik er vanaf wist. Wie is er nu verantwoordelijk als mijn router word gehackt?

[Reactie gewijzigd door LuCarD op 24 maart 2009 10:53]

De meeste gebruikers weten niet eens dat het mogelijk is om iets te installeren op een modem of router.
Sterker nog: de meeste mensen weten niet eens *wat* een router of modem of switch of access point is... Als je hen zegt "trek de stekker van de router eens uit" dan moet je er 9/10 bijzeggen "dat kastje voor het internet".
De filosofie is: het maakt mij nie uit hoe het werkt of wat het is, zolang het maar werkt. En als je dan "kastjes" van je ISP krijgt die default werken, dan gaat men daar ook niets aan veranderen en dan blijft alles op default staan (dus geen pass, encryptie van WLAN etc).
Dat modem van mijn huur ik van de KPN, en die update hem soms ook. Dus KPN is verantwoordelijk.
Sterker nog, ik ben een redelijke expert, en ik wist het niet eens. Uiteraard, ik wist dat sommige op een Linux kernel draaien, dus het was te verwachten.
hoezo, was te verwachten? De linux kernel is een van de meest veilige stukjes software in dit uiversum...... of wou je soms dat al die routers op Billware gingen draaien. Dan hadden we nu geen internet meer gehad,
Dit is al een aantal jaar bekend. Veel van deze bots zijn echter niet zo makkelijk te verwijderen door even het stroom eraf te halen! Er zijn ook bots die een nieuwe firmware in je router flashen en je gewoon toegang geven tot je beheer interface. De basis van je router is dan veranderd maar dat zal je nooit opmerken.
Dan kun je als laatste optie nog via TFTP een boot image sturen en zo de oude verwijderen. Dat werkt natuurlijk helaas maar voor een select aantal routers.

Tenzij de botnet firmware ook de TFTP uit je router sloopt. Maar volgens mij werkt dat los van elkaar aangezien een gebrickte router vaak nog via TFTP bereikbaar is..
Heb even gekeken op het dd-wrt forum en daar is iemand die met opzet z'n router heeft geinfecteerd. Alle symptomen die worden beschreven omtrent de werking van deze worm konden niet worden nagebootst m.u.v. een process dat actief was op de router.

Zoals hierboven eerder opgemerkt, met een fatsoenlijk eigen login en wachtwoord zou er weinig aan de hand moeten zijn. En mocht je geinfecteerd raken doet die worm 'schijnbaar' nog niets.
Is het idee van vers geinfecteerde botnet-slachtoffers niet meer dat ze idle liggen te wachten tot de boel aan iemand verhuurd is?
@Chakotay: En in de tussentijd kunnen ze altijd aan je spamwensen voldoen natuurlijk. :+

Dit hele artikel doet me denken aan de Stormworm, waar ze delen van verkopen die vervolgens verder groeien door het automatisch infecteren van andere machines. :)

[Reactie gewijzigd door Mike Post op 24 maart 2009 14:38]

En ik kan bevestigen dat die lijsten inderdaad bestaan ;) Zelfs van de meest onbekende routers staan er op.... Reken maar op ruim 500 standaard wachtwoorden ;)
"De worm probeert een lijst met veelgebruikte wachtwoorden uit om shell-toegang te krijgen"

Wat simpel om dat op te lossen ... 8)7
Dat is meestal zo maar de mensen die een default password gebruiken zijn die mensen dit deze nieuwsberichten niet zullen lezen en ook niet eens de gevolgen zullen begrijpen. Hetgeen ze ook weer niet kwalijk genomen kan worden.

De hardware fabrikanten zitten hier fout. Bij het installeren van een router MOET er gewoon om een nieuw wachtwoord gevraagd worden. Desnoods printen mensen het maar uit als ze moeite hebben met onthouden, dat is altijd nog 100x veiliger dan het onveranderd laten.

[Reactie gewijzigd door Eriky op 24 maart 2009 12:12]

Ik zou het bijna een logische stap noemen, nu je toch merkt dat besturingssystemen veiliger zijn en mensen iets meer aware.
Als mensen meer "aware" zouden zijn, zou er ook een degelijk password op de desbetreffende modem/router staan. Scheelt al weer heel wat namelijk.
Bij elke (automatische) firmware upgrade van de Livebox van orange/wanadoo wordt de password weer gereset. Ik heb het na xx aantal keren opgegeven om een eigen password op te geven.
Dan noem je n provider/router, maar voor de meesten geldt dit niet.
Tele2 anders ook. Ik moest iedere maand mijn wireless opnieuw configureren omdat die klojo's mijn modem flashen. Ik heb het ook opgegeven en er een router achter gehangen. (je mag je router niet vervangen door een andere ook weer zoiets belachelijks).
Ik zit bij telfort, voorheen speedlinq. Ik ben zelf verantwoordelijk voor firmwareupgrades. Sterker nog, de aangeraden firmware is lager dan de huidige firmware beschikbaar voor mijn modem. (6.1.7.2 vs 6.2.2.x ofzo). Ik heb overijverig laatst de nieuwste firmware van de site van de fabrikant gepakt en geflashed, toen ik mijn wireless aan het tweaken was voor beter bereik.

Dan ben je ineens aan je lot overgeleverd. de abonnementconfiguratietools die telfort/speedlinq beschikbaar heeft zijn voor die oudere firmwareversie. Dus moet je een handmatige setup doen. En ik kon dat met wat speurwerk wel voor elkaar krijgen, maar het is verdomd lastig.

Het is dus zeker geen rare stap dat er zo een worm komt, er zullen genoeg verouderde modems aan het net hangen.
Goed punt! Ik heb ook Telfort en die zeggen expliciet op hun site dat ze liever niet hebben dat je de firmware flasht met een nieuwe versie, omdat zij een aangepaste versie op hun modems zetten.

Dan zal er wel wat tijd overheen gaan, mocht er een bugfix moeten plaatsvinden...
Ik heb ook een Tele2 router en ik heb echt nooi mijn wireless opnieuw hoeven te configureren en ik werk er al meer dan 2 jaar mee. (en alle Tele2 routers draaien dezelfde software)
Ik zou dus ff de helpdesk bellen als ik jou was ;)
Maar die kun je standaard van buitenaf toch niet beheren hoop ik? Zolang er geen poorten als telnet, SSH en HTTP naar buiten toe openstaan kan zo'n worm niks uithalen...
De worm werkt vanaf een backend systeem, waar de telnet, SSH, etc porter wel open staan. Dus als jij je backend schoon houdt zou de worm niet je router kunnen infecteren.
Bij mij is dit de afgelopen 2 jaar niet 1 keer voorgekomen. Heb bij de installatie het password gewijzigd en verder was dit nooit meer nodig.
Kan ook zijn dat mijn livebox de afgelopen 2 jaar niet is geupdate natuurlijk. ;)
Als je je configuratie opslaat (sommige modem/routers doen dat bij elke aanpassing, bij andere moet je het expliciet opslaan) zou dat op de "nvram" moeten staan, en die wordt over het algemeen niet overschreven bij een normale firmware upgrade.
De router fabrikanten kunnen zelf ook voor meer veiligheid kunnen zorgen. Zet bijvoorbeeld (default settings) alles uit. En zolang het standaard wachtwoord niet is aangepast gewoon geen verbinding opbouwen.

Een aantal hele simpele oplossingen en die voorkomen zo ontzettend veel problemen zoals onbeveiligde WiFi verbindingen, gebruik van standaard wachtwoorden, admin remote bereikbaar, etc.

Daarnaast vind ik ook dat een gebruiker mag van zijn provider verwachten (misschien zelfs eisen) dat deze een modem/router krijgt welke correct is ingesteld en zonder verdere configuratie veilig is.
Probleem is dat de modems zo gebruiks vriendelijk moeten zijn. Als je standaard alles uit zet zoals UPnP kunen veel normale gebruikers niets meer doen dan alleen internetten.

Meest betrouwbare zal een hardwarematige beveiliging zijn. een schakelaar die bepaalde lijnen uitschakeld zodat alleen de rom gelezen kan worden maar niet beschreven.

het lijntje tussen gebruiks vriendelijk en niet is zo dun.
UPnP zou standaard juist aan moeten staan, als je dat uitzet krijg je gebruikers die hardcoded ports openzetten, en dat wil je echt niet. UPnP is een stuk veiliger (poorten alleen open als apps binnen het LAN dat willen)
Tjah in eerste instantie waar, maar wat nu met een stukje spyware annex andere rotzooi, wat zelf wel even via upnp een poortje opent? Het heeft daar immers de rechten toe, want het komt van lokaal.

upnp is dus een optie die hier altijd uit gaat. Poorten zet ik zelf wel open, en als ik de poort open heb staan maar er hangt geen applicatie achter dan krijg je vanzelf een time-out.
Verklaar je nader, waarom is UPnP veiliger?
Zodra een applicatie dat wil gaat er een poort open, en ik heb geen enkele controle over welk programma dat aanvraagt. Een virus kan dat net zo goed doen als een normale applicatie.

De kans dat er toevallig een ander onveilig programma zit achter een poort die ik handmatig heb opengezet is echt minimaal.
Het is zeer gebruiksvriendelijk om in ieder geval bij het aansluiten van een router alle verzoeken voor alle webpagina's te laten verwijzen naar de router met een 'Welkom en gefeliciteerd met uw aanschaf. Wilt u even uw wachtwoord instellen zodat u veilig kunt surfen?'-pagina. Dan is al een heel groot gedeelte van dit probleem geeliminieerd.
wow, dat zag ik niet aankomen man O__O;

gelukkig kan je routers makkelijk resetten & hun geheugen wissen ... >_<
het gaat hier denk ik alleen om de slimmere modems en routers, die op linux draaien
Wat ook genoemd wordt is een DMZ, dat hebben de meeste mensen niet thuis staan , das pro spul waar deze worm is op gerich als ik het zo bekijk :o

EDIT :

Het linux gebeuren komt vaker voor dan ik eerst dacht, zo heeft de wrt54g ook een linux mispel ding aan boord en is dus ook gevoelig voor dit soort wormen

[Reactie gewijzigd door BGB4rn op 24 maart 2009 11:02]

Nou dat is niet helemaal waar.. De meest routers hebben bijv voor gaming een DMZ mode. Dit om problemen met een firewall te voorkomen. Deze DMZ mode wordt/werd vooral in het verleden geadviseerd bij problemen met online gaming enzo.
Mijn E-tech van bijna 8 jaar geleden had dat al...
Wat ook genoemd wordt is een DMZ, dat hebben de meeste mensen niet thuis staan , das pro spul waar deze worm is op gerich als ik het zo bekijk
Met DMZ wordt geen merk bedoeld ;) , maar een DeMilitarized Zone, oftewel een "gebied" waarvoor de firewall uit is gezet. En dat hebben genoeg mensen thuis.

Voorbeeldje: voor een bepaalde game is het nodig dat tig poorten open staan als je online wilt spelen, dan kun je in de router aangeven dat die game-pc op IP-adres 192.68.1.2 in de DMZ zit (dan staat vervolgens de firewall van de router voor dat IP-adres uit).

[Reactie gewijzigd door Iva_Bigone op 24 maart 2009 11:26]

DMZ kan je gewoon in iedere router instellen. En veel providers adviseren dat aan ontwetende gebruikers, als ze niet uit een port forwarding komen.
DMZ is in die context een gotspe, hiervoor is UPnP uitgevonden! Providers die dat adviseren mogen wat mij betreft gaan tuinieren.
UPnP is ook niet veilig.
Ik eigenlijk wel. Ooit een keer gebrainstormed over het ultieme virus met een paar IT vrienden op een zaterdagavond. Dit was zeker een van de onderdelen. Het belangrijkste onderdeel was een genetisch algoritme waarbij het virus onderdelen of exploits kan verwijderen en kan paren met een andere infectie. Daarmee hou je vanzelf de succesvolle onderdelen over. Als deze onderdelen met succes worden tegengehouden door een virusscanner dan duiken vanzelf de meer exotische varianten op. Eigenlijk een beetje zoals een echt virus. De mogelijkheid over te stappen op andere hardware maakt het geheel erg lastig uit te roeien. Theoretisch kan het virus bijvoorbeeld vanuit het modem een nieuwe installatie van een nieuw OS infecteren met behulp van een nieuw exploit onderdeel wat toevallig langs het modem komt.
Goh, ik ben dus niet de enige die zo met zijn vrienden praat. :D Mooi concept overigens.

[Reactie gewijzigd door Mike Post op 24 maart 2009 14:02]

Ik denk dat als je zoiets goed aanpakt, dat je dan de hele wereld kan besmetten. De vraag is alleen wat je ermee kunt. Als je het stukje code waar de functionaliteit in zit hetzelfde houdt, dan gaan de virusscanners daarop scannen en wordt je alsnog overal vanaf gegooid, als je dat stukje ook verandert dan heb je of een geniaal algoritme, of variabele functionaliteit. Het begint dan met een trojan, en je eindigt met de Word-paperclip o.i.d.

Wel geniaal trouwens, een digitale epidemie :+
Nee, het eindigt met een globale aanval van 'skynet' en dan een jarenlange oorlog ;)
De Word paperclip is toch sowieso al een virus? Het blijft maar opduiken, ook al klik je het weg :+

Maar zo'n virus moet wel erg groot en log worden om de werking van jvo te kunnen realiseren. Routers met een MIPS architectuur en linux OS zijn totaal anders dan standaard wintel bakken. Het moet dan niet alleen op verschillende architecturen en OS'en draaien, maar ook nog eens exploits en installatiemethodes weten voor al die verschillende combinaties. Als het dan een windows machine infecteert moet het ook MIPS code bij zich hebben (en code voor alle andere platformen waar het op moet, zoals PPC voor je gameconsole), en aangezien het dan zo groot en lomp wordt, maakt een beetje virus scanner er gehakt van.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True