{"id":185787,"date":"2017-01-08T13:12:47","date_gmt":"2017-01-08T12:12:47","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=185787"},"modified":"2017-01-08T13:12:47","modified_gmt":"2017-01-08T12:12:47","slug":"angriffe-auf-heimrouter-ber-dnschanger-variante","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/01\/08\/angriffe-auf-heimrouter-ber-dnschanger-variante\/","title":{"rendered":"Angriffe auf Heimrouter über DNSChanger-Variante"},"content":{"rendered":"

Eine verbesserte Variante der DNSChanger-Malware bef\u00e4llt Windows-Desktops und Android-Ger\u00e4te und zielt auf Sicherheitsl\u00fccken in Heimroutern von Anwendern. <\/p>\n

<\/p>\n

\"\"Zur Malware DNS-Changer hatte ich ja mehrere Blog-Beitr\u00e4ge in den letzten Jahren ver\u00f6ffentlicht. Die Malware versucht, die DNS-Eintr\u00e4ge verwundbarer Heimrouter zu manipulieren, um den Traffic \u00fcber eigene Seiten zu leiten. Vermutlich sollen damit Werbeeinnahmen auf diesen Seiten generiert werden. <\/p>\n

Bereits Mitte Dezember wiesen die Sicherheitsforscher von Proofpoint in diesem Artikel<\/a> auf eine Zunahme von Angriffen \u00fcber modifizierte DNSChanger-Varianten hin. Zitat aus dem Artikel:<\/p>\n

\n

Seit Oktober erleben wir eine verbesserte Version des \u201eDNSChanger-EK\" [1], das bei den noch laufenden Malvertising-Kampagnen verwendet wird. DNSChanger greift Internetrouter \u00fcber die Webbrowser potenzieller Opfer an; das EK nutzt dabei nicht Schwachstellen des Browsers oder des Ger\u00e4tes aus, sondern die in den Heim- und Small-Office-Routern (SOHO). Am h\u00e4ufigsten funktioniert DNSChanger \u00fcber den Chrome-Browser auf Windows-Desktops und Android-Ger\u00e4ten. Sobald die Router befallen sind, werden alle Anwender, die mit dem Router verbunden sind, durch Angriffe und weiteres Malvertising gef\u00e4hrdet, unabh\u00e4ngig von ihrem ausgef\u00fchrten Betriebssystem oder Browser.<\/p>\n<\/blockquote>\n

Die Angriffe erfolgen \u00fcber legitime Webseiten, auf denen b\u00f6sartige Werbung ausgeliefert wird. Dabei pr\u00fcft der DNSChanger-Exploit Kit per Browser, ob der Router angreifbar ist. Trifft dies zu, wird die Werbung mit der Schadsoftware ausgeliefert. Ziel der Angreifer ist es, \u00fcber den Browser Sicherheitsl\u00fccken in den verwendeten Heimroutern aufzusp\u00fcren und deren DNS-Eintr\u00e4ge zu ver\u00e4ndern. <\/p>\n

Gelingt dies, k\u00f6nnen die Angreifer wohl das Verhalten der Zielseite und auch die ausgelieferte Werbung ver\u00e4ndern. So lassen sich Popups einblenden als auch Werbung austauschen. Proofpoint schreibt, das man keine Liste der angreifbaren Router verf\u00fcgbar habe, aber folgende Router als infizierbar betrachtet:<\/p>\n