Monster-Hack aus dem Netz

Trojanerattacke auf DSL-Router

In der Standardkonfiguration sind viele DSL-Router leichte Beute für kriminelle Angreifer. Mit manipulierten Systemeinstellungen lesen sie den gesamten Internetverkehr mit.

Netz-Attacken

© Archiv

In Internet lauern viele Gefahren.

Das Szenario ist gruselig: Ein Spion greift auf Ihr Heimnetzwerk zu, ohne dass Sie davon etwas merken. Jedes Datenpaket, das Sie ins Internet verschicken, kann der Angreifer mithören. So ist es ein Leichtes, eine Online-Transaktion mit einer Bank zu fälschen oder alle E-Mails mitzulesen. Noch schlimmer: Auf Ihrem PC gibt es nicht die geringste Spur des Angreifers. Ein Virenscanner findet nichts, auch die Untersuchung von einer Boot-CD aus bringt kein Ergebnis. Ein solches Szenario ist im Juni 2008 Realität geworden: Der Trojaner DNSChanger, eine neue Variante der Zlob-Familie, nimmt nämlich nicht den PC, sondern DSL-Router im Heimnetzwerk aufs Korn. Tatsächlich wurden nach Berichten von Brian Krebs von der Washington Post Infektionen bisher bei Modellen von Linksys (BEFSX41) sowie Buffalo (mit der Open-Source-Firmware DD-WRT) beobachtet. Prinzipiell lässt sich die Angriffsmethode aber auf fast alle Routermodelle übertragen.

Router stellen im privaten Umfeld meistens per DSL die Verbindung zum Internet her und dienen als Schaltstelle zum internen LAN und WLAN. Im Prinzip sind es einfache Computer, auf denen ein Betriebssystem auf Basis von Linux arbeitet. Die Konfiguration der Router erfolgt fast immer über einen eingebauten Webserver und ein Web-Interface, das man über einen normalen Webbrowser aufruft. Aus dem Internet, also von außen, sind diese Konfigurationsseiten nicht erreichbar (nur manche Routermodelle erlauben das nach expliziter Freischaltung über eine verschlüsselte HTTPS-Verbindung). Bei vielen Routern ist die Konfiguration standardmäßig ohne Passwort oder mit einem Standardpasswort des Herstellers erreichbar.

Viele Anwender belassen es dabei, schließlich galt bisher die Logik: Um Zugriff zu haben, muss ein Angreifer Zugang zum Haus-LAN haben. Abgesehen von einem geknackten WLAN erfordert das einen klassischen Einbruch.

Trojaner installieren

Der Zlob-Trojaner hebelt diesen trügerischen Schutzmechanismus aus. Getarnt als Video-Codec auf präparierten Websites zeigt DNS-Changer einen Download-Dialog an und trickst viele Anwender damit aus. So auf dem PC installiert sucht der Trojaner gezielt nach einem Router und versucht, die Konfigurationsseite aufzurufen. Dabei versucht es DNSChanger zunächst ohne Passwort und greift dann auf eine Liste mit Standardpasswörtern und häufig benutzten Passwörtern wie "123452 oder "passwort" zurück.

Klappt das, stehen dem Trojaner sämtliche Parameter des Routers offen. DNSChanger konzentriert sich auf einen Eintrag, nämlich die Adresse des DNS-Servers. Standardmäßig holt sich ein Router diese IP- Adresse automatisch vom DSL-Provider, es ist aber auch vorgesehen, eine feste Adresse einzutragen. Danach verbleibt DNSChanger wie die meisten Trojaner auf dem infizierten PC. Genauso gut könnte ein künftiger Trojaner sich nach erfolgreicher DNS-Umstellung auch wieder löschen und damit die Spuren auf dem PC verwischen.

Umfrage

Wurde Ihr Router bereits Opfer einer Hackerattacke?

Glücklicherweise nicht, nein.70.7%
Leider ja, es war der pure Horror.29.3%

DNS umbiegen

Das Domain Name System oder kurz DNS sorgt im Internet für die Konvertierung von Domainnamen wie www.magnus.de in IP-Adressen wie 216.77.123.9. Nur über diese IP-Adresse ist ein Ziel-Computer erreichbar. Der Eintrag des DNS-Servers verweist nach dem Trojanerangriff auf einen Computer der Hacker.

Im Klartext: Tippen Sie im Browser eine Adresse wie www.online-banking.de ein, schickt Ihr Router die Anfrage an den Hacker-PC. Der kann nun eine beliebige IP-Adresse zurückmelden, die etwa auf einen weiteren Hacker-PC verweist. Der holt sich die Originalseite der Bank, manipuliert den Inhalt und leitet ihn an Sie weiter. Oder in beliebige Webseiten wird ein Exploit für die jeweils neueste Sicherheitslücke eingebaut, die dann etwa einen tagesaktuellen Keylogger installiert. Der Fantasie sind hier kaum Grenzen gesetzt, zumal alle Programme mit Internetzugriff davon betroffen sind.

Von der "umgebogenen" Adresse des DNS-Servers merkt man als Anwender zunächst nichts. Schließlich haben die kriminellen Hacker kein Interesse daran, aufzufallen. Die meisten Webseitenzugriffe klappen problemlos, nur ab und an passiert dann etwas Merkwürdiges.

Flash ausnutzen

Software: Router-Angriff - Trojanerattacke auf DSL-Router

© Archiv

So sieht die Installation eines Zlob-Trojaners aus, der sich als Video-Codec ausgibt.

Eine weitere Masche, die Konfiguration von DSL-Routern zu manipulieren, ist seit Anfang des Jahres bekannt: Ein Flash-Objekt auf einer scheinbar harmlosen Webseite greift mit ganz normalen ActionScript-Befehlen wie navigatetourl auf die UPNP-Schnittstelle zu. "Universal Plug and Play" ist dazu gedacht, unerfahrenen Anwendern die mühselige Konfiguration eines Routers und andere Heimnetzwerkkomponenten wie Media-Server etc. abzunehmen.

Eine Authentifizierung ist bei UPNP nicht vorgesehen. Über die Schnittstelle lassen sich praktisch sämtliche Konfigurationseinstellungen wie Port Forwarding oder die DNS-Adresse des Routers anpassen. Da Flash plattformunabhängig ist, sind auch Mac- und Linux-Maschinen davon betroffen. Ausführlich berichtet darüber das Blog GNUcitizen.

Trübe Aussichten

Die Juni-Version des Trojaners DNSChanger kommt nur mit einer kleinen Auswahl an DSL-Routern zurecht. Die in Deutschland weit verbreitete Fritz!Box ist noch nicht betroffen - das kann sich aber jederzeit ändern. Ist die Masche für die Kriminellen erfolgreich, kann man sich bald auf eine ganze Welle an Router-Angriffen einstellen. Das zeigt zum Beispiel der Angriff über UPNP.

Dazu kann man sich wahre Horrorszenarien ausmalen: Der Trojaner könnte bestimmte Ports auf dem Router öffnen (Port Forwarding), die etwa den freien Zugriff auf lokale Netzwerklaufwerke und NAS- Systeme erlauben. Viele Anwender schützen diese nicht mit einem Passwort.

Oder auf dem Router wird nicht nur die Konfiguration geändert, sondern die Firmware manipuliert. Dann könnte der Router zum Beispiel als Teil eines Botnets Spam versenden oder sonstige Aufgaben ausführen - schließlich hängt er rund um die Uhr am Internet.

Im Moment wird der Angriff auf den Router über einen Trojaner oder ein Flash-Objekt auf dem lokalen PC geführt. Router sind aber auch nur Computer mit Betriebssystem, es könnte also durchaus Sicherheitslücken geben, die eine direkte Infektion eines Routers mit einem Trojaner erlauben. Bis zum nächsten Router-Neustart bleibt der Spion dann auch ohne Firmware-Änderung aktiv.

So schützen Sie sich

Den aktuellen Zlob-Trojaner oder einen UPNP-Angriff lassen Sie auf recht einfache Weise ins Leere laufen: >Ändern Sie das Passwort für den Zugriff auf die Routerkonfiguration. Verwenden Sie ein sicheres Passwort, also mindestens zehn Zeichen, gemischt aus Buchstaben, Sonderzeichen und Zahlen. Damit kann der Trojaner mit seiner Liste verbreiteter Passwörter nichts mehr ausrichten.>Schalten Sie die UPNP-Funktion im Router - sofern vorhanden - ab. Denken Sie auch an andere Geräte wie Media-Server etc.>Bei Verdacht auf eine Infektion: Versetzen Sie den Router per Hardware in den Auslieferungszustand. Dazu ist meistens mit einem spitzen Gegenstand, etwa einer Büroklammer, ein kleiner Schalter hinter einem Loch im Gehäuse längere Zeit zu drücken.>Überprüfen Sie alle PCs im Netzwerk mit einem Virenscanner auf den Trojaner.>Deaktivieren Sie den Fernwartungszugang für Ihren Router, sofern dieser entsprechend ausgerüstet ist. AVM hat zum Beispiel Remote Access für die Modelle 7170 und 7270 mit einem Firmware-Update im Mai 2008 eingeführt, immerhin ist die Option standardmäßig deaktiviert.

Mehr zum Thema

WLAN Repeater von AVM
WLAN Repeater

Wer seine WLAN-Reichweite erhöhen will, der kommt um WLAN-Repeater nicht herum. Wir haben passend die richtigen Tipps für Ihr Heimnetzwerk.
WLAN-Empfang verbessern
Empfang verbessern

Ein WLAN-Netz sollte zuhause alle Räume abdecken. Wenn die drahtlose Verbindung nicht reicht, verbessern diese 3 Lösungen den WLAN-Empfang.
Fritzbox Telefonie
7 Tipps

Die FritzBox bietet Telefoniefunktionen, die vielen Profi-Telefonanlagen in nichts nachstehen. Wir zeigen, wie Sie sie optimal nutzen.
Mit Banana Pi zum Router im Eigenbau
Anleitung

In der Klasse um 100 Euro ist der Banana Pi R1 (Router One) fertigen Routern überlegen. Wir zeigen, wie Sie den Banana Pi Router einrichten.
Fritzbox 7490
UPnP aktivieren

Wir zeigen, wie Sie UPnP (Universal Plug and Play) auf der Fritzbox aktivieren und einen Media-Server einrichten können.