![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die VPNFilter getaufte Malware ist doch kritischer als gedacht. Das haben neue Analysen ergeben. Vor allem sind mehr Router als bisher bekannt von dieser Malware betroffen.<\/p>\nDie VPNFilter getaufte Malware ist doch kritischer als gedacht. Das haben neue Analysen ergeben. Vor allem sind mehr Router als bisher bekannt von dieser Malware betroffen.<\/p>\n
<\/p>\n
Das FBI hat zwar die Control & Command-Server \u00fcbernommen, aber die Urheber des Botnetzes versuchen dieses zur Zeit zu aktivieren. Details hatte ich im Blog-Beitrag VPNFilter-Botnetz versucht ein Comeback, Ukraine im Visier<\/a> berichtet. Aktuell sieht es so aus, als ob die Ukraine im Visier der Cyber-Kriminellen (man vermutet russische Staatshacker dahinter) steht.<\/p>\n Im Artikel Sicherheitsinfos zum 31. Mai 2018<\/a> hatte ich eine Reihe an betroffenen Routern genannt. Diese basierten auf einem von der Sicherheitsfirma Talos ver\u00f6ffentlichten Blog-Beitrag<\/a>.<\/p>\n Jetzt wurde in einem Update vom Cisco Talos Sicherheitsteam mitgeteilt<\/a>, dass die Malware auch Ger\u00e4te von UPVEL, Ubiquiti, D-Link, ASUS, ZTE und Huawei infizieren kann. Lediglich Cisco-Ger\u00e4te scheinen vorerst nicht betroffen. Damit ist die Gesamtzahl der anf\u00e4lligen Ger\u00e4temodelle von 16 auf 71 gestiegen. Und es gibt die M\u00f6glichkeit, das weitere anf\u00e4lligere Ger\u00e4temodelle existieren.<\/p>\n Zudem haben die Sicherheitsforscher ein neues Modul der 3. Infektionsstufe entdeckt, das b\u00f6sartigen Inhalt in den Webverkehr einspeist, w\u00e4hrend diese Daten durch das Netzwerkger\u00e4t geleitet werden. Das neue Modul erm\u00f6glicht es dem Angreifer, Exploits \u00fcber eine Man-in-the-Middle-F\u00e4higkeit an Endpunkte zu liefern (z.B. k\u00f6nnen sie den Netzwerkverkehr im Netzwerk abfangen und b\u00f6sartigen Code ohne das Wissen des Benutzers in ihn einf\u00fcgen). Damit best\u00e4tigt Talos, dass die Bedrohung \u00fcber das hinausgeht, was der Angreifer auf dem Router selbst tun k\u00f6nnte. Die Bedrohung bezieht sich auf das gesamte Netzwerk, in dem ein kompromittiertes Netzwerkger\u00e4t arbeitet. Dieses 3. Modul, \"ssler\" (Endpoint exploitation module \u2014 JavaScript injection) genannt, bietet Datenexfiltrations- und JavaScript-Injektionsm\u00f6glichkeiten. Es kann den gesamten Datenverkehr, der durch das f\u00fcr Port 80 bestimmte Ger\u00e4t flie\u00dft, abfangen. Es wird erwartet, dass dieses Modul mit einer Parameterliste ausgef\u00fchrt wird, die das Verhalten des Moduls bestimmt und welche Websites angesprochen werden sollen. Der erste Positionsparameter steuert den Ordner auf dem Ger\u00e4t, in dem die gestohlenen Daten gespeichert werden sollen. Der Zweck der anderen genannten Parameter ist wie folgt:<\/p>\n Technische Details zu diesem 3. Modul finden sich bei Talos<\/a>. Bei OSRadar findet sich ein erg\u00e4nzender Artikel<\/a> \u2013 und Golem hat hier<\/a> sowie heise.de hier<\/a> jeweils eine deutschsprachige Abhandlung mit weiteren Details.<\/p>\n Nutzer sollten das Ger\u00e4t neu starten, um die nicht persistenten Angriffsmodule zu entfernen. Dann sollte die aktuellste Firmware (sofern vorhanden) aufgespielt und die Zugangsdaten f\u00fcr die Verwaltung ge\u00e4ndert werden. Das ist nat\u00fcrlich kein Garant, dass ein infiziertes Ger\u00e4t wieder sauber ist.<\/p>\n \u00c4hnliche Artikel:<\/strong> Die VPNFilter getaufte Malware ist doch kritischer als gedacht. Das haben neue Analysen ergeben. Vor allem sind mehr Router als bisher bekannt von dieser Malware betroffen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-205213","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205213","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=205213"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205213\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=205213"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=205213"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=205213"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ich hatte im Artikel Sicherheitsinfos zum 31. Mai 2018<\/a> \u00fcber das vom FBI gekaperte Botnet VPNFilter berichtet. Das Botnetz ist so entworfen, dass es Router und NAS-Ger\u00e4te bef\u00e4llt. Man geht von 500 Millionen befallenen Ger\u00e4ten aus. <\/p>\n
![\"VPNFilter](\"https:\/\/4.bp.blogspot.com\/-IvGAKgTghuk\/WwT1mTgI31I\/AAAAAAAAAhE\/TaZFBk8b-Jwyv0cYS6uITcWdNjq3V8jZQCLcBGAs\/s640\/image5.jpg\"\/ "\\"VPNFilter")
(Quelle: Talos) <\/p>\nNeue Erkenntnisse<\/h2>\n
\n
Sicherheitsinfos zum 31. Mai 2018<\/a>
VPNFilter-Botnetz versucht ein Comeback, Ukraine im Visier<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"