@SV3N
mach doch bitte in solch Art News klar und für jeden offensichtlich erkennbar, wie das mit dem Angriff ausschaut, respektive eben hier, wie man vermutet dass der Angriff erfolgt. Und das nicht erst am Ende im letzten Abschnitt, sondern dick und fett oben am Anfang...
Die Quelle schriebt dazu:
"
It’s still unclear how routers are being compromised but, based on available telemetry, it seems that attackers are bruteforcing some Linksys router models, either by directly accessing the router’s management console exposed online or by bruteforcing the Linksy cloud account."
Das heißt konkret, es ist nicht 100% klar wie der Angriff erfolgt, aber er erfolgt scheinbar den Telemetriedaten zur Folge direkt auf das Webinterface oder über eine Cloud-Admin Oberfläche worüber sich der Router administrieren lässt.
Egal wie man es dreht - das ist essentiell wichtig mMn in solchen News zu lesen. Der ganze Beikram, DNS Manipulation hier, Umleitung da, Malwere dort -> eigentlich unwichtig, für die Leute ist es bei sowas wichtig zu wissen wie der Angriff erfolgt!! Und das fehlt leider einfach in Meldungen zu Security Themen häufig oder ist am Ende oder unnötig kompliziert formuliert.
Für die Leute mit den entsprechenden Routern -> nehmt irgend nen Dienst, der Ports scannen kann -> scan auf die eigene Public IP -> gucken ob da was auf ist. Wenn nicht? Ziemlich sicher 99,9% Save. Wenn doch -> abschalten oder sich genau bewusst sein, was da wie läuft und was nicht.
Diese Cloud-Admin Kacke gehört mMn btw. verboten - aber da rede ich wahrscheinlich gegen eine Wand
Wer sowas nutzt ist eh dann nicht ganz geschützt vor Zugriffen Dritter... Hier kann man nur generische Accounts mit elend langen PWs und nem Password Manager nutzen. Oder gleich auf Tokens, 2FA oder ähnlichem setzen. Am Besten aber, komplett ausmachen den Unsinn!
Btw. bleepingcomputer.com zur Folge wird hier nicht nur an dem lokalen im Router laufenden DNS Server rumgeschraubt, sondern offenbar auch am DHCP Dienst - denn der Seite zur Folge berichten User darüber, dass ihre Client PCs die IPs als DNS ebenso haben -> was unter Windows ab Vista generell erstmal nur mit höheren Rechten funktioniert. Würde technisch also erstmal einer Sicherheitslücke bedürfen wenn das der User selbst nicht war. Und wenn wer via Admin Recht den DNS lokal ändern kann - dann hat man ehrlich gesagt andere Probleme
Bleibt nur DHCP.
Weiterhin wird offenbar der Windows Scan Task zum erkennen ob der Rechner Internet Zugriff hat oder nicht dazu missbraucht -> laut dem Bericht wird die Anfrage umgeleitet. Was ich aktuell nicht greifen kann, wie daraus der Download der App folgen soll -> weil wenn da nix kommt oder das falsche, es öffnet sich da nicht deswegen ein Browser mit dem Hinweis?? Hat das mal wer ausgetestet? Selbst Testen muss ich das jetzt persönlich aber auch nicht
Wer klickt denn bitte auf sowas?!
