Ein Botnetz mit dem Namen GhostDNS hat 100.000 Heim-Router von über 70 Herstellern befallen und manipuliert deren DNS-Einstellungen. Ziel ist es, den Traffic auf Phishing-Seiten (für brasilianische Banken) umzuleiten.
Anzeige
Ich bin hier und hier auf die betreffenden Informationen gestoßen. Erste Informationen gab es aber bereits im August 2018 auf dieser Webseite. Seit dem 8. Juni verfolgt deren Sicherheits-Forschungszentrum bösartige Aktivitäten, die auf DLink DSL-Modem-Router in Brasilien abzielen. Durch bekannte alte Exploits aus dem Jahr 2015 versucht ein Angreifer die DNS-Servereinstellungen in den Routern brasilianischer Einwohner zu ändern und leitet alle seine DNS-Anfragen über einen kompromittierten DNS-Server um.
Dieser DNS-Server übernimmt Anfragen für den Hostnamen der Banco de Brasil (www.bb.com.br) und leitet sie auf eine gefälschte, geklonte Website weiter, die auf demselben kompromittierten DNS-Server gehostet wird. Dieser hat keinerlei Verbindung zur legitimen Banco de Brasil-Website. Es sind die Webseiten weiterer Banken mit Phishing-Kopien (wohl um die 50) betroffen.
GhostDNS-Botnet
Das GhostDNS-System besteht aus vier Teilen: DNSChanger-Modul, Phishing Web-Modul, Web-Admin-Modul, Rogue-DNS-Modul. Unter anderem ist das DNSChanger-Modul für die Sammlung und Auswertung von Informationen zuständig.
Anzeige
Bisher ist wohl nur Brasilien von diesem Angriff betroffen, wie obige Karte zeigt. Aktuell versuchen die Sicherheitsforscher die brasilianischen Internetprovider um Hilfe zu bitten, in der Hoffnung, das Botnet zu stoppen.
Anzeige
Wäre alles kein Problem, wenn Hard-/Software-Industrie und Webseitenbetreiber DNSSEC implementieren würden. Auch sollte man sich nicht auf den DNS-Dienst des Internet-Dienstleisters verlassen und stattdessen einen eigenen DNS Server betreiben.
Tut doch jeder, oder was meinst Du, wer, wenn Du DHCP nicht dazwischen pfuschst, der DNS für die Rechner in Deinem Netzwerk ist? Richtig: der Router. Die Frage, die sich mir immer wieder stellt, ist, warum 3 Jahre alte Sicherheitslücken nicht gepatcht sind.Zum Thema DNSSEC zitiere ich mal aus Wikipedia: "Eine Authentifizierung von Servern oder Clients findet nicht statt."
Was also bringt DNSSEC in einem Fall, wo ich es schaffe, den im Router eingetragenen forwarder auszutauschen?
Um einen eigenen DNS Server zu betreiben, muss ein solcher (z.B. BIND) installiert werden. Danach kann er für DNS-Abfragen genutzt werden. Hat also nichts mit DHCP zu tun — und ein Router ist auch kein DNS Server. DNSSEC hat auch nichts mit Server/Client Authentifizierung zu tun. Stattdessen erlaubt DNSSEC die Antworten auf DNS-Abfragen zu verifizieren, was ohne DNSSEC nicht möglich ist.