Onderzoekers hebben een botnet van veertienduizend Asus-routers ontdekt dat alleen door middel van een fabrieksreset is op te schonen. Het botnet wordt 'KadNap' genoemd en biedt besmette apparaten aan als proxy voor criminelen, aldus onderzoekers van securitybedrijf Lumen. Aanvallers kunnen tegen betaling van deze proxydienst gebruikmaken om zo hun eigen ip-adres te verbergen en een ip-adres te krijgen dat zich in dezelfde regio bevindt als het doelwit.
Hoe de Asus-routers precies besmet raken laten de onderzoekers niet weten, maar in een reactie tegenover Ars Technica wordt gesteld dat er vermoedelijk gebruik wordt gemaakt van bekende kwetsbaarheden. Dat zou inhouden dat eigenaren van de routers beschikbare updates niet hebben geïnstalleerd. Lumen heeft verschillende Indicators of Compromise (IoC's) beschikbaar gemaakt waarmee gebruikers kunnen controleren of hun router besmet is.
Voor het verwijderen van de malware is een fabrieksreset nodig. De malware slaat namelijk een shell-script op dat automatisch wordt uitgevoerd wanneer de router herstart, waardoor het apparaat weer besmet raakt. Bij een fabrieksreset wordt dit script. verwijderd. Verder moeten eigenaren controleren of alle beschikbare firmware-updates zijn geïnstalleerd, admin-wachtwoorden sterk zijn en remote access staat uitgeschakeld tenzij nodig. De meeste infecties door KadNap zijn in de VS waargenomen.
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Bron: Security.nl
Onderzoekers hebben een botnet van veertienduizend Asus-routers ontdekt dat alleen door middel van een fabrieksreset is op te schonen. Het botnet wordt 'KadNap' genoemd en biedt besmette apparaten aan als proxy voor criminelen, aldus onderzoekers van securitybedrijf Lumen. Aanvallers kunnen tegen betaling van deze proxydienst gebruikmaken om zo hun eigen ip-adres te verbergen en een ip-adres te krijgen dat zich in dezelfde regio bevindt als het doelwit.
Hoe de Asus-routers precies besmet raken laten de onderzoekers niet weten, maar in een reactie tegenover Ars Technica wordt gesteld dat er vermoedelijk gebruik wordt gemaakt van bekende kwetsbaarheden. Dat zou inhouden dat eigenaren van de routers beschikbare updates niet hebben geïnstalleerd. Lumen heeft verschillende Indicators of Compromise (IoC's) beschikbaar gemaakt waarmee gebruikers kunnen controleren of hun router besmet is.
Voor het verwijderen van de malware is een fabrieksreset nodig. De malware slaat namelijk een shell-script op dat automatisch wordt uitgevoerd wanneer de router herstart, waardoor het apparaat weer besmet raakt. Bij een fabrieksreset wordt dit script. verwijderd. Verder moeten eigenaren controleren of alle beschikbare firmware-updates zijn geïnstalleerd, admin-wachtwoorden sterk zijn en remote access staat uitgeschakeld tenzij nodig. De meeste infecties door KadNap zijn in de VS waargenomen.
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Bron: Security.nl
Deel dit bericht: