Botnetz aus Netzwerk-Komponenten

Wurm infiziert Router und DSL-Modems

Aktuell sucht infiziert eine Malware namens psyb0t Router und DSL-Modems, um sie zu einem Botnetz zu vereinen. Betroffen sind Geräte, deren Administrations-Interface vom WAN aus ereichbar ist und die eine Shell auf dem System ermöglichen.

Router sind mittlerweile oft nicht weniger als hochspezialisierte Linux-Rechner. Das macht sich laut den Sicherheitsexperten von DroneBL eine Malware zu nutzen, die infizierte Router und DSL-Modems in ein Botnetz eingliedert. Betroffen sind MiPSEL-Geräte, auf die per Telnet, SSH oder Webinterface aus dem WAN zugegriffen werden kann. Zusätzlich muss das Administrator-Passwort schwach sein alternativ reicht es, wenn der entsprechende Daemon eine Schwachstelle enthält. Betroffen sind beispielsweise auch Geräte, auf denen die beliebte DD-WRT- oder openWRT-Firmware läuft. Im Forum von DD-WRT melden sich bereits infizierte Nutzer.

Laut DroneBL erkennt man eine Infektion daran, dass die Ports 22, 23 und 80 während der Infektion geblockt sind. Sollten Sie den Verdacht haben, dass Ihr Gerät infiziert ist, sollten Sie das Gerät vom Netz trennen, auf Werkseinstellungen zurücksetzen und neue Firmware einspielen. Vergessen Sie nicht, anschließend Administrations-Zugriffe per WAN zu unterbinden.

Die Malware infiziert die Netzwerkgeräte und lädt via wget oder busybox ftpget die restliche Payload herunter. Anschließend startet er einen IRC-Client und verbindet sich mit einem zentralen Kontrollserver. Über diesen kann der Botmaster verschiedene Kommandos ausführen auch DDoS-Attacken sind so möglich. Dies ist das erste Mal, dass ein Wurm direkt auf die Netzwerkgeräte zielt und sie in ein Botnetz einbindet. Hier sollten Admins in Zukunft deutlich mehr Vorsicht walten lassen – sowohl in der Firma wie auch im Heimumfeld. (mja)