So überprüfen Sie Ihren Router auf Malware
Die Sicherheit der Consumer-Router ist ziemlich schlecht. Angreifer nutzen mangelnde Hersteller aus und greifen eine große Anzahl von Routern an. So prüfen Sie, ob der Router gefährdet ist.
Der Markt für Heimrouter ist dem Android-Smartphone-Markt sehr ähnlich. Hersteller stellen eine große Anzahl verschiedener Geräte her und kümmern sich nicht um die Aktualisierung, sodass sie angegriffen werden können.
Wie Ihr Router sich der dunklen Seite anschließen kann
Angreifer versuchen häufig, die DNS-Servereinstellungen Ihres Routers zu ändern und auf einen schädlichen DNS-Server zu richten. Wenn Sie versuchen, eine Verbindung zu einer Website herzustellen, beispielsweise der Website Ihrer Bank, fordert Sie der DNS-Server dazu auf, stattdessen eine Phishing-Site aufzurufen. Es kann immer noch bankofamerica.com in Ihrer Adressleiste stehen, aber Sie befinden sich auf einer Phishing-Site. Der schädliche DNS-Server antwortet nicht unbedingt auf alle Anfragen. Bei den meisten Anforderungen kann es zu einer Zeitüberschreitung kommen und Abfragen an den Standard-DNS-Server Ihres Internetdienstanbieters umleiten. Ungewöhnlich langsame DNS-Anfragen sind ein Zeichen dafür, dass Sie eine Infektion haben.
Menschen mit scharfen Augen stellen möglicherweise fest, dass eine solche Phishing-Site keine HTTPS-Verschlüsselung aufweist, viele jedoch nicht bemerken. SSL-Stripping-Angriffe können sogar die Verschlüsselung während der Übertragung entfernen.
Angreifer können auch Werbung einführen, Suchergebnisse umleiten oder versuchen, Drive-by-Downloads zu installieren. Sie können Anforderungen für Google Analytics oder andere Skripts erfassen, die fast jede Website verwendet, und sie an einen Server umleiten, der ein Skript bereitstellt, das stattdessen Anzeigen einblendet. Wenn Sie auf einer legitimen Website wie How-To Geek oder der New York Times pornografische Werbung sehen, sind Sie mit Sicherheit mit etwas infiziert - entweder auf Ihrem Router oder auf Ihrem Computer.
Viele Angriffe verwenden Cross-Site Request Forgery (CSRF) -Angriffe. Ein Angreifer bettet schädliches JavaScript in eine Webseite und versucht, die webbasierte Administrationsseite des Routers zu laden und die Einstellungen zu ändern. Da JavaScript auf einem Gerät in Ihrem lokalen Netzwerk ausgeführt wird, kann der Code auf die Webschnittstelle zugreifen, die nur in Ihrem Netzwerk verfügbar ist.
Bei manchen Routern sind möglicherweise die Remote-Administrationsschnittstellen zusammen mit Standardbenutzernamen und -kennwörtern aktiviert. Bots können nach solchen Routern im Internet suchen und erhalten Zugriff. Andere Exploits können andere Routerprobleme nutzen. UPnP scheint beispielsweise auf vielen Routern anfällig zu sein.
Wie zu überprüfen
Das einzige eindeutige Zeichen, dass ein Router angegriffen wurde, ist, dass sein DNS-Server geändert wurde. Sie sollten die webbasierte Schnittstelle Ihres Routers besuchen und die DNS-Servereinstellungen überprüfen.
Zunächst müssen Sie auf die webbasierte Einstellungsseite Ihres Routers zugreifen. Überprüfen Sie die Gateway-Adresse Ihrer Netzwerkverbindung oder lesen Sie in der Dokumentation Ihres Routers nach, wie das geht.
Melden Sie sich ggf. mit dem Benutzernamen und dem Kennwort Ihres Routers an. Suchen Sie irgendwo nach einer "DNS" -Einstellung, häufig im Bildschirm mit den WAN- oder Internetverbindungseinstellungen. Wenn es auf "Automatisch" eingestellt ist, ist das in Ordnung - es wird von Ihrem Internetdienstanbieter bezogen. Wenn "Manuell" eingestellt ist und dort benutzerdefinierte DNS-Server eingetragen sind, könnte dies durchaus ein Problem sein.
Es ist kein Problem, wenn Sie Ihren Router so konfiguriert haben, dass er gute alternative DNS-Server verwendet - zum Beispiel 8.8.8.8 und 8.8.4.4 für Google DNS oder 208.67.222.222 und 208.67.220.220 für OpenDNS. Wenn es jedoch DNS-Server gibt, die Sie nicht erkennen, ist dies ein Zeichen dafür, dass Ihr Router durch die Verwendung von DNS-Servern von Malware geändert wurde. Wenn Sie Zweifel haben, führen Sie eine Websuche nach den DNS-Serveradressen durch und prüfen Sie, ob sie legitim sind oder nicht. So etwas wie „0.0.0.0“ ist in Ordnung und bedeutet oft, dass das Feld leer ist und der Router automatisch einen DNS-Server erhält.
Experten empfehlen, diese Einstellung gelegentlich zu überprüfen, um festzustellen, ob Ihr Router beschädigt wurde oder nicht.
Hilfe, dort ist ein schädlicher DNS-Server!
Wenn hier ein schädlicher DNS-Server konfiguriert ist, können Sie ihn deaktivieren und Ihren Router anweisen, den automatischen DNS-Server von Ihrem Internetdienstanbieter zu verwenden oder die Adressen legitimer DNS-Server wie Google DNS oder OpenDNS hier einzugeben.
Wenn hier ein schädlicher DNS-Server eingetragen ist, möchten Sie möglicherweise alle Einstellungen Ihres Routers löschen und ihn vor dem erneuten Einrichten des Geräts zurücksetzen. Verwenden Sie anschließend die unten aufgeführten Tricks, um den Router vor weiteren Angriffen zu schützen.
Härten Sie Ihren Router gegen Angriffe
Sie können Ihren Router durchaus gegen diese Angriffe absichern - etwas. Wenn der Router Sicherheitslücken hat, die vom Hersteller nicht gepatcht wurden, können Sie ihn nicht vollständig sichern.
- Installieren Sie Firmware-Updates: Stellen Sie sicher, dass die neueste Firmware für Ihren Router installiert ist. Aktivieren Sie automatische Firmware-Updates, wenn der Router dies anbietet - die meisten Router tun dies leider nicht. Dies stellt zumindest sicher, dass Sie vor gepatchten Fehlern geschützt sind.
- Remotezugriff deaktivieren: Deaktivieren Sie den Fernzugriff auf die webbasierten Administrationsseiten des Routers.
- Änder das Passwort: Ändern Sie das Kennwort in die webbasierte Administrationsoberfläche des Routers, sodass Angreifer nicht einfach mit dem Standardpasswort gelangen können.
- Schalten Sie UPnP aus: UPnP war besonders anfällig. Selbst wenn UPnP auf Ihrem Router nicht anfällig ist, kann ein Teil der Malware, der in Ihrem lokalen Netzwerk ausgeführt wird, UPnP verwenden, um Ihren DNS-Server zu ändern. Genau so funktioniert UPnP - es vertraut allen Anfragen aus Ihrem lokalen Netzwerk.
DNSSEC soll zusätzliche Sicherheit bieten, aber hier ist es kein Allheilmittel. In der Realität vertraut jedes Client-Betriebssystem nur dem konfigurierten DNS-Server. Der schädliche DNS-Server könnte behaupten, dass ein DNS-Eintrag keine DNSSEC-Informationen hat oder dass er über DNSSEC-Informationen verfügt und dass die IP-Adresse tatsächlich weitergegeben wird.
Bildnachweis: nrkbeta auf Flickr