image

Microsoft ontwikkelt tool voor het scannen van MikroTik-routers op malware

donderdag 17 maart 2022, 14:31 door Redactie, 7 reacties

Microsoft heeft een tool ontwikkeld waarmee het mogelijk is om MikroTik-routers op malware te scannen. Het gaat dan specifiek om de Trickbot-malware die onder andere een hoofdrol bij een aantal grote ransomware-incidenten speelde. Trickbot kan allerlei data en inloggegevens van besmette systemen stelen, maar wordt ook vaak gebruikt voor het installeren van andere malware.

Net als allerlei andere malware maakt Trickbot gebruik van command & control (C2)-servers voor het aansturen van besmette machines. Om detectie van de malware en C2-servers te voorkomen zet Trickbot besmette MikroTik-routers in als proxy. Zodoende loopt het verkeer via een ander ip-adres, wat detectie kan bemoeilijken. Microsoft zegt dat het onlangs ontdekte hoe MikroTik-apparaten binnen de C2-infrastructuur van Trickbot worden gebruikt. Deze informatie werd vervolgens gebruikt voor het ontwikkelen van een scantool waarmee Trickbot-infecties op MikroTik-routers zijn te detecteren.

Voor het compromitteren van MikroTik-routers maken de aanvallers gebruik van drie methodes, namelijk standaard MikroTik-wachtwoorden, bruteforce-aanvallen, waarbij ook unieke wachtwoorden werden gebruikt die waarschijnlijk van andere MikroTik-routers afkomstig zijn en als laatste een vier jaar oude kwetsbaarheid. Via dit beveiligingslek, aangeduid als CVE-2018-14847, kan een aanvaller willekeurige bestanden op de router uitlezen, waaronder het bestand dat de wachtwoorden bevat.

Naast het ontwikkelen van een scantool voor het vinden van Trickbot-malware geeft Microsoft ook advies voor het verwijderen van een besmetting wanneer die wordt aangetroffen, alsmede maatregelen om toekomstige aanvallen te voorkomen. Zo moeten gebruikers het standaardwachtwoord door een sterk wachtwoord vervangen, toegang tot poort 8291 vanaf het internet blokkeren, het standaard poortnummer van SSH wijzigen, de laatste firmware installeren en een VPN voor remote beheer en toegang gebruiken.

Image

Reacties (7)
17-03-2022, 14:46 door Anoniem
Zo diep zijn we inmiddels gezakt. Sorrie hoor dit is toch de wereld op zijn kop?

Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???
17-03-2022, 16:51 door Anoniem
Ik weet niet veel van code, maar wat moet ik met al die mappen doen die op github staan? En hoe scan je je modem dan?
Iemand?
17-03-2022, 17:04 door Anoniem
Door Anoniem:
Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???
Daar zit het grote probleem! MikroTik heeft i.t.t. Microsoft geen "default ingeschakelde auto-update". Sterker nog,
er is helemaal geen auto-update tenzij je daar zelf een script voor verzint en er op zet.
Als ze dat wel hadden was dit probleem er niet, maar dan was er weer het probleem van de (hier) over elkaar heen
vallende deskundigen die menen dat zij beter updates kunnen installeren dan zo'n automatische updater.
Of whatever reden ze gaan aanvoeren.
En dan is er nog de firewall, die default toegang tot de admin interface vanaf internet tegenhoudt, maar die schakelen
mensen uit want ze willen met hun telefoon op afstand hun router beheren, ofzo.
17-03-2022, 23:14 door Anoniem
Door Anoniem: Ik weet niet veel van code, maar wat moet ik met al die mappen doen die op github staan? En hoe scan je je modem dan?
Iemand?

Dan moet je op die groene knop CODE klikken en dan kun je het downloaden, ofwel als git clone ofwel als zip file.
Dat zet je dan lokaal ergens neer, en onder al die mappen staat de handleiding wat je dan verder moet doen.

Het tooltje gaat er vanuit dat je het IP adres, usernaam en wachtwoord van de router weet en dan gaat ie een paar
dingen checken. Het is dus niet een "zoek naar vulnerable routers" tooltje ofzo.
De meest recente versies van RouterOS doen dit overigens zelf al. Maar ja het is bedoeld voor mensen die niet updaten.
18-03-2022, 10:15 door Anoniem
Door Anoniem: Zo diep zijn we inmiddels gezakt. Sorrie hoor dit is toch de wereld op zijn kop?

Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???

Kleine organisatie, met een goedwillende windows beheerder en niemand die de router snapt of durft aan te raken.

Dat soort plaatsen zijn er veel - en daar zijn installatie tools (of scan tools) gewoon erg welkom.
19-03-2022, 11:15 door Anoniem
Door Anoniem:
Door Anoniem: Zo diep zijn we inmiddels gezakt. Sorrie hoor dit is toch de wereld op zijn kop?

Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???

Kleine organisatie, met een goedwillende windows beheerder en niemand die de router snapt of durft aan te raken.

Dat soort plaatsen zijn er veel - en daar zijn installatie tools (of scan tools) gewoon erg welkom.

Dan zullen ze het wel eerst als een Windows package moeten releasen want nu is het een tooltje geschreven in python
en beschikbaar als git clone of zip download, daar ga je die plekken niet mee bereiken.
19-03-2022, 18:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Zo diep zijn we inmiddels gezakt. Sorrie hoor dit is toch de wereld op zijn kop?

Trouwens: ze werken hun firmware vier jaar niet bij maar ze gaan wel een Microsoft tooltje installeren???

Kleine organisatie, met een goedwillende windows beheerder en niemand die de router snapt of durft aan te raken.

Dat soort plaatsen zijn er veel - en daar zijn installatie tools (of scan tools) gewoon erg welkom.

Dan zullen ze het wel eerst als een Windows package moeten releasen want nu is het een tooltje geschreven in python
en beschikbaar als git clone of zip download, daar ga je die plekken niet mee bereiken.

Ah, goed punt.

Ja, dan is het een leuk startpunt voor iemand die een stuk verder gevorderd is om makkelijk te scannen , maar inderdaad geen optie voor de shops waar de admins beperkt zijn tot "install and click" software.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.