Microsoft veröffentlicht Trickbot-Scanner für MikroTik-Geräte

Microsoft veröffentlicht Trickbot-Scanner für MikroTik-Geräte

Neuerdings sollen die Drahtzieher hinter der Trickbot-Malware MikroTik-Geräte wie Router dazu einspannen, ihr Command-and-Control-Netzwerk für den Betrieb ihrer Trojaner-Kampagnen auszubauen.

Das führen Sicherheitsforscher von Microsoft in einem Beitrag aus und präsentieren Tipps zur Absicherung solcher IoT-Geräte sowie einen kostenlosen Scanner, mit dem Admins kompromittierte Geräte ausfindig machen können. In welchem Umfang diese Kampagne abläuft, ist derzeit nicht bekannt.

Beim RouterOS Scanner handelt es sich um ein forensisches Tool, das für Trickbot typische verdächtige Tätigkeiten wie Traffic-Umleitungen und Port-Weiterleitungen aufspüren soll. Weitere Informationen zum Funktionsumfang und zur Nutzung findet man auf der Github-Seite des Projektes.

Den Sicherheitsforschern zufolge scannen die Angreifer das Internet nach öffentlich erreichbaren MikroTik-Geräten und versuchen, sich dann einzuloggen. Dafür probieren sie es etwa mit Standard-Log-in-Daten des Herstellers oder probieren riesige Listen mit geleakten Passwortsammlungen aus. Alternativ soll das Ausnutzen einer Sicherheitslücke (CVE-2018-14847) aus dem Jahr 2018 Angreifer auf Geräte lassen. Geräte ab RouterOS 6.42 sollen dagegen gerüstet sein.

Klappt der Zugriff, installieren die Angreifer ihren Schadcode und nisten sich auf dem Gerät ein. Sie nutzen es als Proxyserver für die Kommunikation mit ihren Command-and-Control-Servern. Mit dieser Methode wollen sie unter dem Radar von Standard-Sicherheitslösungen im Netzwerk operieren. Läuft diese Infrastruktur, können sie etwa weitere Trojaner-Module nachladen, um weiter in Firmennetze vorzudringen.

Damit es gar nicht erst so weit kommt, sollten Admins unter anderem starke Passwörter einsetzen und den Standard-SSH-Port 22 wechseln. Außerdem sollte sichergestellt sein, dass Geräte stets mit der aktuellen Firmware laufen und somit mit aktuellen Sicherheitsupdates ausgestattet sind.

Die Trickbot-Malware ist schon seit 2016 in Umlauf und die Drahtzieher haben unter anderem mit den Emotet-Hintermännern zusammengearbeitet.


(des)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.