Open Source im professionellen Einsatz

Router-Wurm Moose gefällt das

27.05.2015

Ein Wurm namens Moose infiziert zurzeit Linux-basierte Router verschiedener Marken. Die multithreading-fähige Software begeistert sich für soziale Netzwerke, findet Sachen gut, schaut Videos und Bilder an und wird zum Fan bestimmter Nutzer.

340

Facebook-Likes und Twitter-Follower zu generieren, ist mittlerweile ein Geschäft geworden. In dem PDF "Dissecting Linux/Moose - The Analysis of a Linux Router-based Worm" beschreiben Olivier Bilodeau und Thomas Dupuy von der Sicherheitsfirma Eset, wie Verkäufer diese Social-Network-Währung mit Hilfe eines Wurms generieren, der Linux-basierte Geräte angreift.

Um überhaupt auf die Linux-basierten Router zu gelangen, die auf ARM- oder MIPS-Hardware setzen, nutzt Moose keine Sicherheitslücken aus, sondern klaut über Bruteforce-Angriffe schlecht gewählte Zugangsdaten. Einmal auf dem Router gelandet, sucht er im internen Netzwerk nach weiteren infizierbaren Geräten, wozu auch IP-Kameras und digitale Videorecorder gehören. Zugleich nimmt er Kontakt mit Command-&-Control-Servern auf, die unterschiedliche Funktionen besitzen. Ihnen sendet er verschiedene Informationen über das Netzwerk und weitere Moose-Kollegen zu und empfängt Konfigurationen und Instruktionen.

Laut Eset kidnappt die Malware vor allem die Cookies von beliebten sozialen Netzwerken wie Twitter, Facebook und hauptsächlich Instagram, aber auch Google Play, Yandex, Youtube und Live. Zur Kommunikation wechselt Moose dabei meist auf HTTPS. Über die Verbreitung von Moose können die Macher der Studie nicht viel sagen, weil es an einer geeigneten Datenbasis fehlt und die Hoster der C-&-C-Server nicht kooperierten. Eine vage Hochrechnung, die auf einem Scan nach dem Port 10073 resultiert, den Moose verwendet, schätzen die Macher der Analyse, dass der Wurm um die 50 000 Hosts infiziert haben könnte.

Grundsätzlich könnte der Wurm allerdings alles Mögliche anstellen. Er könnte Router-DNS-Traffic umleiten, um MITM-Angriffe über das Internet zu ermöglichen, die Kommunikation hinter Routern mitschneiden und als Proxy-Server auftreten (Socks und HTTP).

Eset bieten auf Github ein kostenloses Tool an, dass den Wurm auf eigenen Geräten entdeckt. Es sei nicht so ausgereift wie die sonstigen Produkte, man hoffe aber, dass es die Linux-Community und Malware-Analysten mit Mehrwert einsetzen können. Infizierte Geräte lassen sich laut Blogpost per Reset oder Neuinstallation der Firmware restaurieren. Die Wahl eines sicheren Routerpassworts steht allerdings an erster Stelle und verhindert, dass der Wurm überhaupt auf die Netzwerkhardware gelangt.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.