Microsoft veröffentlicht Tool für MikroTik Trickbot-Infektionen

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Trickbot-Gang infiziert IoT-Geräte und MikroTik-Router mit Schadsoftware, um diese Teil eines Botnetzes zu machen. Die infizierten Router können dann mit den C&C-Servern der Trickbot-Gang kommunizieren und weitere Malware verbreiten oder für Angriffe missbraucht werden. Microsoft hat nun Details zur Wirkungsweise von Trickbot-Infektionen veröffentlicht und stellt gleichzeitig ein kostenloses Python-Tool zum Erkennen von MikroTik Trickbot-Infektionen bereit.


Anzeige

Trickbot ist der Name einer Malware sowie der dahinter stehenden Cybercrime-Gruppe. Ursprünglich war es ein Trojaner für Microsoft Windows, der Bankdaten und anderen Anmeldeinformationen erbeuten sollten. Inzwischen haben die Hintermänner die Fähigkeiten erweitert und ein komplettes modulares Malware-Ökosystem geschaffen, welches auf verschiedenen Betriebssystemen läuft. Mittlerweile infiziert Trickbot auch Router von MikroTik, um diese als Proxies für die Kommunikation mit den C&C-Servern zu missbrauchen.

Microsoft veröffentlicht Insides und Scanner

Ein Leser hat mich auf diesen Artikel mit einigen Informationen zu Trickbot hingewiesen.  Aber auch von Microsoft gibt es einige aktuellen Informationen zur Thema Trickbot-Infektionen von MicroTik-Routern. Ich bin über nachfolgenden Tweet auf den Sachverhalt gestoßen, der im Blog-Beitrag Uncovering Trickbot's use of IoT devices in command-and-control infrastructure aufbereitet wird.

Microsoft vabout Trickbot on MikroTic

Microsoft schreibt, dass die Hintermänner die Fähigkeiten von Trickbot so erweitert haben, dass die Malware auf IoT-Geräte (Internet of Things) wie Router ausdehnen kann. Speziell MikroTik-Geräte stehen dabei im Fokus, denn deren Router sind weltweit in verschiedenen Branchen weit verbreitet. Indem die Trickbot-Malware MikroTik-Router als Proxy-Server zur Kommunikation mit seinen C2-Servern nutzt und den Datenverkehr über nicht standardisierte Ports umleitet, verfügt das Botnetz über eine weitere Persistenzschicht, die die Kommunikation mit bösartigen IPs zu verschleiern und so, die Erkennung durch Standard-Sicherheitssysteme zu umgehen.


Anzeige

Dem Forschungsteam von Microsoft Defender for IoT ist es kürzlich gelungen, die genaue Methode aufzudecken, mit der MikroTik-Geräte in der C2-Infrastruktur von Trickbot zur Kommunikation eingesetzt werden. In diesem Blog-Beitrag teilen die Sicherheitsforscher ihrer Analyse dieser Methode und geben Einblicke, wie Angreifer Zugang zu MikroTik-Geräten erhalten und kompromittierte IoT-Geräte für Trickbot-Angriffe nutzen.

Die Angriffe auf MikroTik-Router zur Infektion der Geräte bedienen sich dabei recht einfacher Methoden. Es werden MikroTik-Standardpasswörter verwendete oder Brute-Force-Angriffe benutzt, um auf die Verwaltungsoberfläche der Router zuzugreifen. Dabei kommen einige eindeutige Passwörter zum Einsatz, die wahrscheinlich von anderen MikroTik-Geräten abgegriffen wurden. Und es wird die Schwachstelle CVE-2018-14847 auf Geräten mit RouterOS-Versionen älter als 6.42 ausgenutzt. Diese Schwachstelle gibt dem Angreifer die Möglichkeit, beliebige Dateien wie user.dat zu lesen, die Passwörter enthalten.

Sobald die Malware Zugriff auf den Router hat, ändert sie das Passwort für den Benutzerzugang. Anschließend verwendet die Malware spezifische SSH-Shell-Befehle, um über eine neue Regel den Verkehr vom Gerät zu einem Server umzuleiten. Dieser wird von Port 449 empfangen und zu Port 80 umgeleitet. Der legitime NAT-Befehl (Network Address Translation) ermöglicht es dem NAT-Router, IP-Adressen neu zu schreiben. In diesem Fall wird der Befehl für bösartige Aktivitäten verwendet. Trickbot ist dafür bekannt, die Ports 443 und 449 zu nutzen, und Microsoft konnte feststellen, dass einige Zielserver in der Vergangenheit als TrickBot-C2-Server identifiziert wurden.

OpenSource-Tool für MikroTik-Scans

Microsoft hat ein OpenSource-Tool in Python veröffentlicht, um MikroTik-Router auf Infektionen zu scannen. Dieses Tools bietet u.a. folgende Funktionen:

  • Abrufen der Geräteversion und Zuordnung zu CVEs
  • Prüfung auf geplante Aufgaben
  • Suche nach Regeln zur Traffic-Umleitung (NAT und andere Regeln)
  • Suche nach DNS-Cache-Poisoning
  • Suche nach Änderungen der Standard-Ports
  • Suchen Sie nach nicht standardmäßigen Benutzern

Der Blog-Beitrag enthält Details zum Umgang mit dem Tool, welches auf GitHub abrufbar ist.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Microsoft veröffentlicht Tool für MikroTik Trickbot-Infektionen

  1. Christian Krause sagt:

    Mikrotik schreibt sich mit "k" …

    • Carsten sagt:

      OT: Zwei unmittelbar aufeinanderfolgende Sätze mit demselben Adverb – hier: inzwischen – zu beginnen ist stilistisch auch nicht so der Hit.

  2. janil sagt:

    Wie schreibt sich das doch gleich "Korintenkacker"?

    • Ralf S. sagt:

      😂 Volltreffer!
      Das Gleiche dachte ich gestern nämlich auch, hab's bloß nicht schreiben wollen …

      Wundere mich immer wieder, dass Hr. Born bei solch "wichtigen" Kommis ruhig bleibt. Erwarte da eigentlich immer irgendeine zynisch-ironisch-satirische Reaktion – bleibt aber meist (leider ;-)) aus. Er steht wohl drüber und lächelt es weg …

  3. Günter Born sagt:

    Wer seit 28 Jahren vorne in der Bütt steht, davon 15 Jahre hier in den Blogs, muss über so was drüber wegsehen können. Fehler passieren, manchmal geht auch was schief. Wird ggf. korrigiert und gut ist. Nur bei justiziablen Sachen, oder wenn es gegen andere Leser zu arg unter die Gürtellinie geht, zensiere ich.

    PS: War auch Mal jung und 'heißblütig' als Jungingenieur auf Veranstaltungen. Hab es dann aber schnell gelassen und eine abweichende Sichtweise mit den Referenten direkt unter vier Augen diskutiert. War einfach zielführender ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.