{"id":263513,"date":"2022-03-18T15:04:39","date_gmt":"2022-03-18T14:04:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263513"},"modified":"2024-03-04T23:14:58","modified_gmt":"2024-03-04T22:14:58","slug":"microsoft-verffentlicht-tool-fr-mikrotic-trickbot-infektionen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/18\/microsoft-verffentlicht-tool-fr-mikrotic-trickbot-infektionen\/","title":{"rendered":"Microsoft veröffentlicht Tool für MikroTik Trickbot-Infektionen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Trickbot-Gang infiziert IoT-Ger\u00e4te und MikroTik-Router mit Schadsoftware, um diese Teil eines Botnetzes zu machen. Die infizierten Router k\u00f6nnen dann mit den C&C-Servern der Trickbot-Gang kommunizieren und weitere Malware verbreiten oder f\u00fcr Angriffe missbraucht werden. Microsoft hat nun Details zur Wirkungsweise von Trickbot-Infektionen ver\u00f6ffentlicht und stellt gleichzeitig ein kostenloses Python-Tool zum Erkennen von MikroTik Trickbot-Infektionen bereit.<\/p>\n

<\/p>\n

\"\"Trickbot<\/a> ist der Name einer Malware sowie der dahinter stehenden Cybercrime-Gruppe. Urspr\u00fcnglich war es ein Trojaner f\u00fcr Microsoft Windows, der Bankdaten und anderen Anmeldeinformationen erbeuten sollten. Inzwischen haben die Hinterm\u00e4nner die F\u00e4higkeiten erweitert und ein komplettes modulares Malware-\u00d6kosystem geschaffen, welches auf verschiedenen Betriebssystemen l\u00e4uft. Mittlerweile infiziert Trickbot auch Router von MikroTik, um diese als Proxies f\u00fcr die Kommunikation mit den C&C-Servern zu missbrauchen.<\/p>\n

Microsoft ver\u00f6ffentlicht Insides und Scanner<\/h2>\n

Ein Leser hat mich auf diesen Artikel<\/a> mit einigen Informationen zu Trickbot hingewiesen.\u00a0 Aber auch von Microsoft gibt es einige aktuellen Informationen zur Thema Trickbot-Infektionen von MicroTik-Routern. Ich bin \u00fcber nachfolgenden Tweet<\/a> auf den Sachverhalt gesto\u00dfen, der im Blog-Beitrag Uncovering Trickbot's use of IoT devices in command-and-control infrastructure<\/a> aufbereitet wird.<\/p>\n

\"Microsoft<\/a><\/p>\n

Microsoft schreibt, dass die Hinterm\u00e4nner die F\u00e4higkeiten von Trickbot so erweitert haben, dass die Malware auf IoT-Ger\u00e4te (Internet of Things) wie Router ausdehnen kann. Speziell MikroTik-Ger\u00e4te stehen dabei im Fokus, denn deren Router sind weltweit in verschiedenen Branchen weit verbreitet. Indem die Trickbot-Malware MikroTik-Router als Proxy-Server zur Kommunikation mit seinen C2-Servern nutzt und den Datenverkehr \u00fcber nicht standardisierte Ports umleitet, verf\u00fcgt das Botnetz \u00fcber eine weitere Persistenzschicht, die die Kommunikation mit b\u00f6sartigen IPs zu verschleiern und so, die Erkennung durch Standard-Sicherheitssysteme zu umgehen.<\/p>\n

Dem Forschungsteam von Microsoft Defender for IoT ist es k\u00fcrzlich gelungen, die genaue Methode aufzudecken, mit der MikroTik-Ger\u00e4te in der C2-Infrastruktur von Trickbot zur Kommunikation eingesetzt werden. In diesem Blog-Beitrag<\/a> teilen die Sicherheitsforscher ihrer Analyse dieser Methode und geben Einblicke, wie Angreifer Zugang zu MikroTik-Ger\u00e4ten erhalten und kompromittierte IoT-Ger\u00e4te f\u00fcr Trickbot-Angriffe nutzen.<\/p>\n

Die Angriffe auf MikroTik-Router zur Infektion der Ger\u00e4te bedienen sich dabei recht einfacher Methoden. Es werden MikroTik-Standardpassw\u00f6rter verwendete oder Brute-Force-Angriffe benutzt, um auf die Verwaltungsoberfl\u00e4che der Router zuzugreifen. Dabei kommen einige eindeutige Passw\u00f6rter zum Einsatz, die wahrscheinlich von anderen MikroTik-Ger\u00e4ten abgegriffen wurden. Und es wird die Schwachstelle CVE-2018-14847 auf Ger\u00e4ten mit RouterOS-Versionen \u00e4lter als 6.42 ausgenutzt. Diese Schwachstelle gibt dem Angreifer die M\u00f6glichkeit, beliebige Dateien wie user.dat zu lesen, die Passw\u00f6rter enthalten.<\/p>\n

Sobald die Malware Zugriff auf den Router hat, \u00e4ndert sie das Passwort f\u00fcr den Benutzerzugang. Anschlie\u00dfend verwendet die Malware spezifische SSH-Shell-Befehle, um \u00fcber eine neue Regel den Verkehr vom Ger\u00e4t zu einem Server umzuleiten. Dieser wird von Port 449 empfangen und zu Port 80 umgeleitet. Der legitime NAT-Befehl (Network Address Translation) erm\u00f6glicht es dem NAT-Router, IP-Adressen neu zu schreiben. In diesem Fall wird der Befehl f\u00fcr b\u00f6sartige Aktivit\u00e4ten verwendet. Trickbot ist daf\u00fcr bekannt, die Ports 443 und 449 zu nutzen, und Microsoft konnte feststellen, dass einige Zielserver in der Vergangenheit als TrickBot-C2-Server identifiziert wurden.<\/p>\n

OpenSource-Tool f\u00fcr MikroTik-Scans<\/h2>\n

Microsoft hat ein OpenSource-Tool in Python ver\u00f6ffentlicht, um MikroTik-Router auf Infektionen zu scannen. Dieses Tools bietet u.a. folgende Funktionen:<\/p>\n