Nieuwe feature Win32/Sality malware past primaire DNS aan
Het al sinds 2003 bestaande Win32/Sality heeft zijn toevlucht genomen tot een nieuwe brute-force methode om toegang te verkrijgen tot routers met makkelijk te raden logingegevens. Win32/Sality is een vorm van malware die met behulp van een peer-to-peer botnet werkt. De malware is door de jaren heen voor veel verschillende doeleinden gebruikt waaronder het vervalsen van reclame netwerkverkeer en DDos aanvallen. De afgelopen jaren nam het aantal computers geïnfecteerd door Win32/Sality af.
Omdat de bestaande methoden van Win32/Sality waarschijnlijk niet meer voldoende waren om het botnet in leven te kunnen houden hebben de bedenkers nu een nieuwe component toegevoegd genaamd Win32/RBrute.A. Het component scant het internet en zoekt naar router configuratie-interfaces. Vervolgens probeert het met behulp van een korte lijst van gebruikersnamen en wachtwoorden in te loggen, aldus Benjamin Vanheuverzwijn.
De targets zijn 14 routers van TP-Link , 3 van D-Link , 2 van ZTE en 1 van Huawei. Wanneer er succesvol wordt ingelogd wordt de default DNS, het systeem dat verantwoordelijk is voor het vertalen van domeinnamen naar IP-adressen, aangepast.
Door de eigen kwaadaardige DNS-server te gebruiken bepaalt de aanvaller vanaf dat moment waar het slachtoffer op het internet terecht komt. Zelfs als de juiste domeinnaam wordt ingetypt.
In dit geval stuurt Win32/Sality het slachtoffer naar een nep download pagina voor Google Chrome als men naar een domein surft waar de woorden "facebook" of "google" in voorkomen. De aanvallers hopen dan dat het slachtoffer de browser “Chrome” download wat in werkelijkheid natuurlijk Win32/Sality is. Wanneer de computer eenmaal geïnfecteerd is met Win32/Sality verandert de malware de default DNS weer naar "8.8.8.8", het IP-adres van de gratis Public DNS service van Google.
Het is nog te bezien of de nieuwe tactiek van Win32/Sality op de lange termijn effectief zal zijn aangezien steeds meer router configuratie-interfaces niet meer via het internet bereikbaar zijn. “De beste oplossing voor het probleem is natuurlijk nog altijd het standaard wachtwoord van de router veranderen" aldus Vanheuverzwijn.
Helaas zijn er in het werelddeel waar ik woon veel providers die de default username / password combinatie niet veranderen wanneer ze routers bij klanten plaatsen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.