Sicherheitslücken im Visier
Der Malware-Entwickler hat sich dabei auf Exploits spezialisiert, mit denen sich Home-Router angreifen lassen, wie winfuture.de unter Berufung auf Analysen des Security-Unternehmens NewSky berichtete. Während Satori auf eine Sicherheitslücke in der Firmware von Huawei-Geräten zielt, nimmt Masuta nun D-Link-Produkte ins Visier. Der Schadcode soll dabei gleich auf zwei verschiedene Optionen setzen, um Zugang zu dem jeweiligen System zu bekommen.
Die erste ausgenutzte Angriffslücke sind in der Regel die Standard-Passwörter, mit denen die Router ausgestattet sind. Ist der Versuch erfolglos, erfolgt ein zweiter Versuch über einen Exploit, der eine schon länger bekannte Schwachstelle in der Firmware ausnutzt. Da Anwender häufig kein sicheres Passwort benutzen und auch selten Firmware-Updates durchführen sind beide Angriffsmöglichkeiten höchst Erfolg versprechend.
Nutzer bemerken Zugriff kaum
Wie es weiter dazu heißt, schleust die Malware ein kleines Skript ein, das völlig ausreichend ist, um den Router in ein Botnetz zu integrieren. Wird die Beanspruchung des Gerätes durch die Angreifer gering gehalten, bleibt dessen Ausnutzung für den Betroffenen meist unbemerkt. Anhand der Tatsache, dass der Command-and-Control-Server über die gleichen Adressen erreicht wird, wird deutlich, dass hinter Masuta der gleiche Botnetz-Betreiber wie hinter Satori steht.
Schutzmaßnahmen
Schutz bietet hier nur die übliche Vorgehensweise: Firmware-Updates einspielen und sichere Passwörter verwenden. Bei Satori, dessen Malware über eine Zero-Day-Lücke zuschlägt, hätte allerdings auch dies nicht geholfen.
Weiterführende Links:
newskysecurity.com: Masuta : Satori Creators’ Second Botnet Weaponizes A New Router Exploit.
winfuture.de: Zweite Botnetz-Malware binnen eines Monats sammelt Home-Router ein
