Microsoft ontwikkelt tool voor het scannen van MikroTik-routers op malware

Microsoft heeft een tool ontwikkeld waarmee het mogelijk is om MikroTik-routers op malware te scannen. Het gaat dan specifiek om de Trickbot-malware die onder andere een hoofdrol bij een aantal grote ransomware-incidenten speelde. Trickbot kan allerlei data en inloggegevens van besmette systemen stelen, maar wordt ook vaak gebruikt voor het installeren van andere malware.

Net als allerlei andere malware maakt Trickbot gebruik van command & control (C2)-servers voor het aansturen van besmette machines. Om detectie van de malware en C2-servers te voorkomen zet Trickbot besmette MikroTik-routers in als proxy. Zodoende loopt het verkeer via een ander ip-adres, wat detectie kan bemoeilijken. Microsoft zegt dat het onlangs ontdekte hoe MikroTik-apparaten binnen de C2-infrastructuur van Trickbot worden gebruikt. Deze informatie werd vervolgens gebruikt voor het ontwikkelen van een scantool waarmee Trickbot-infecties op MikroTik-routers zijn te detecteren.

Voor het compromitteren van MikroTik-routers maken de aanvallers gebruik van drie methodes, namelijk standaard MikroTik-wachtwoorden, bruteforce-aanvallen, waarbij ook unieke wachtwoorden werden gebruikt die waarschijnlijk van andere MikroTik-routers afkomstig zijn en als laatste een vier jaar oude kwetsbaarheid. Via dit beveiligingslek, aangeduid als CVE-2018-14847, kan een aanvaller willekeurige bestanden op de router uitlezen, waaronder het bestand dat de wachtwoorden bevat.

Naast het ontwikkelen van een scantool voor het vinden van Trickbot-malware geeft Microsoft ook advies voor het verwijderen van een besmetting wanneer die wordt aangetroffen, alsmede maatregelen om toekomstige aanvallen te voorkomen. Zo moeten gebruikers het standaardwachtwoord door een sterk wachtwoord vervangen, toegang tot poort 8291 vanaf het internet blokkeren, het standaard poortnummer van SSH wijzigen, de laatste firmware installeren en een VPN voor remote beheer en toegang gebruiken.