Connect with us

Wie man

So überprüfen Sie Ihren Router auf Malware

So überprüfen Sie Ihren Router auf Malware

Die Sicherheit von Consumer-Routern ist ziemlich schlecht. Angreifer nutzen lakonische Hersteller aus und greifen große Mengen von Routern an. So überprüfen Sie, ob Ihr Router kompromittiert wurde.

Der Markt für Heimrouter ist dem Markt für Android-Smartphones sehr ähnlich. Hersteller stellen eine große Anzahl verschiedener Geräte her und machen sich nicht die Mühe, sie zu aktualisieren, sodass sie für Angriffe offen bleiben.

Wie Ihr Router der dunklen Seite beitreten kann

Angreifer versuchen häufig, die DNS-Servereinstellung Ihres Routers zu ändern und auf einen böswilligen DNS-Server zu verweisen. Wenn Sie versuchen, eine Verbindung zu einer Website herzustellen, z. B. zur Website Ihrer Bank, werden Sie vom böswilligen DNS-Server aufgefordert, stattdessen eine Phishing-Site aufzurufen. In Ihrer Adressleiste steht möglicherweise immer noch bankofamerica.com, aber Sie befinden sich auf einer Phishing-Site. Der böswillige DNS-Server antwortet nicht unbedingt auf alle Anfragen. Bei den meisten Anfragen tritt möglicherweise einfach eine Zeitüberschreitung auf, und Anfragen werden dann an den Standard-DNS-Server Ihres Internetdienstanbieters umgeleitet. Ungewöhnlich langsame DNS-Anfragen sind ein Zeichen dafür, dass Sie möglicherweise eine Infektion haben.

Menschen mit scharfen Augen bemerken möglicherweise, dass eine solche Phishing-Site keine HTTPS-Verschlüsselung aufweist, aber viele Menschen bemerken dies nicht. SSL-Stripping-Angriffe können sogar die Verschlüsselung während der Übertragung entfernen.

Angreifer können auch nur Werbung einfügen, Suchergebnisse umleiten oder versuchen, Drive-by-Downloads zu installieren. Sie können Anfragen nach Google Analytics oder anderen Skripten erfassen, die fast jede Website verwendet, und diese an einen Server weiterleiten, der ein Skript bereitstellt, das stattdessen Anzeigen einfügt. Wenn Sie pornografische Werbung auf einer legitimen Website wie How-To Geek oder der New York Times sehen, sind Sie mit ziemlicher Sicherheit mit etwas infiziert – entweder auf Ihrem Router oder auf Ihrem Computer.

Viele Angriffe verwenden CSRF-Angriffe (Cross-Site Request Forgery). Ein Angreifer bettet bösartiges JavaScript in eine Webseite ein und dieses JavaScript versucht, die webbasierte Verwaltungsseite des Routers zu laden und die Einstellungen zu ändern. Da das JavaScript auf einem Gerät in Ihrem lokalen Netzwerk ausgeführt wird, kann der Code auf die Webschnittstelle zugreifen, die nur in Ihrem Netzwerk verfügbar ist.

Bei einigen Routern sind möglicherweise die Remoteverwaltungsschnittstellen zusammen mit den Standardbenutzernamen und -kennwörtern aktiviert. Bots können im Internet nach solchen Routern suchen und Zugriff erhalten. Andere Exploits können andere Routerprobleme ausnutzen. UPnP scheint beispielsweise auf vielen Routern anfällig zu sein.

Wie zu überprüfen

Das einzige verräterische Zeichen dafür, dass ein Router kompromittiert wurde, ist, dass sein DNS-Server geändert wurde. Sie sollten die webbasierte Oberfläche Ihres Routers besuchen und die DNS-Servereinstellungen überprüfen.

Zunächst müssen Sie auf die webbasierte Einrichtungsseite Ihres Routers zugreifen. Überprüfen Sie die Gateway-Adresse Ihrer Netzwerkverbindung oder lesen Sie in der Dokumentation Ihres Routers nach, wie.

Melden Sie sich bei Bedarf mit dem Benutzernamen und dem Passwort Ihres Routers an. Suchen Sie irgendwo nach einer DNS-Einstellung, häufig im Bildschirm mit den Einstellungen für WAN oder Internetverbindung. Wenn es auf «Automatisch» eingestellt ist, ist das in Ordnung – es wird von Ihrem ISP bezogen. Wenn es auf «Manuell» eingestellt ist und dort benutzerdefinierte DNS-Server eingegeben sind, kann dies durchaus ein Problem sein.

Es ist kein Problem, wenn Sie Ihren Router für die Verwendung guter alternativer DNS-Server konfiguriert haben, z. B. 8.8.8.8 und 8.8.4.4 für Google DNS oder 208.67.222.222 und 208.67.220.220 für OpenDNS. Wenn es dort jedoch DNS-Server gibt, die Sie nicht erkennen, ist dies ein Zeichen dafür, dass Malware Ihren Router so geändert hat, dass DNS-Server verwendet werden. Führen Sie im Zweifelsfall eine Websuche nach den DNS-Serveradressen durch und prüfen Sie, ob diese legitim sind oder nicht. Etwas wie «0.0.0.0» ist in Ordnung und bedeutet oft nur, dass das Feld leer ist und der Router stattdessen automatisch einen DNS-Server erhält.

Experten empfehlen, diese Einstellung gelegentlich zu überprüfen, um festzustellen, ob Ihr Router kompromittiert wurde oder nicht.

Hilfe, es gibt einen bösartigen DNS-Server!

Wenn hier ein böswilliger DNS-Server konfiguriert ist, können Sie ihn deaktivieren und Ihren Router anweisen, den automatischen DNS-Server Ihres Internetdienstanbieters zu verwenden, oder hier die Adressen legitimer DNS-Server wie Google DNS oder OpenDNS eingeben.

Wenn hier ein böswilliger DNS-Server eingegeben wurde, möchten Sie möglicherweise alle Einstellungen Ihres Routers löschen und auf die Werkseinstellungen zurücksetzen, bevor Sie ihn erneut einrichten – nur um sicherzugehen. Verwenden Sie dann die folgenden Tricks, um den Router vor weiteren Angriffen zu schützen.

Härten Sie Ihren Router gegen Angriffe

Sie können Ihren Router sicher gegen diese Angriffe absichern – etwas. Wenn der Router Sicherheitslücken aufweist, die der Hersteller nicht gepatcht hat, können Sie ihn nicht vollständig sichern.

  • Installieren Sie Firmware-Updates: Stellen Sie sicher, dass die neueste Firmware für Ihren Router installiert ist. Aktivieren Sie automatische Firmware-Updates, wenn der Router dies anbietet – leider tun dies die meisten Router nicht. Dies stellt zumindest sicher, dass Sie vor allen Fehlern geschützt sind, die behoben wurden.
  • Deaktivieren Sie den Remotezugriff: Deaktivieren Sie den Remotezugriff auf die webbasierten Verwaltungsseiten des Routers.
  • Änder das Passwort: Ändern Sie das Kennwort in die webbasierte Administrationsoberfläche des Routers, damit Angreifer nicht einfach mit der Standardeinstellung zugreifen können.
  • Schalten Sie UPnP aus: UPnP war besonders anfällig. Selbst wenn UPnP auf Ihrem Router nicht anfällig ist, kann eine Malware, die irgendwo in Ihrem lokalen Netzwerk ausgeführt wird, UPnP verwenden, um Ihren DNS-Server zu ändern. So funktioniert UPnP – es vertraut allen Anfragen aus Ihrem lokalen Netzwerk.

DNSSEC soll zusätzliche Sicherheit bieten, ist hier aber kein Allheilmittel. In der realen Welt vertraut jedes Client-Betriebssystem nur dem konfigurierten DNS-Server. Der böswillige DNS-Server könnte behaupten, dass ein DNS-Eintrag keine DNSSEC-Informationen enthält oder dass er DNSSEC-Informationen enthält und die weitergegebene IP-Adresse die echte ist.

Bildnachweis: nrkbeta auf Flickr

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia