Botnetze übernehmen Millionen von Routern - auch Deinen!

Ich habe einen Router mit iptables und ip_forward

Beispiel-URLs für den autom. Download:

hxxp://51.79.85.22/Bins_Bot_hicore_arm

hxxp://51.79.85.22/Bins_Bot_hicore_mips

hxxp://51.79.85.22/Bins_Bot_hicore_mipsle

Der Server hinter der IP wurde am 19.01.2023 erfolgreich gekillt…!

==================================================================================

DIR-300
DIR-501
DIR-600L
DIR-605C
DIR-605L
DIR-615
DIR-618
DIR-618b
DIR-619
DIR-619L
DIR-809
DIR-813
DIR-815
DIR-820L
DIR-825
DIR-825AC
DIR-825ACG1
DIR-842

DAP-1155
DAP-1155 A1
DAP-1360 C1
DAP-1360 B1

DSL-2640U
DSL-2750U
DSL_2640U

VoIP Router DVG-2102S
VoIP Router DVG-5004S
VoIP Router DVG-N5402GF
VoIP Router DVG-N5402SP
VoIP Router DVG-N5412SP
Wireless VoIP Device DVG-N5402SP|
|DASAN Networks|H150N|
|Davolink Inc.|DVW2700 1
DVW2700L 1|
|Edge-core|VoIP Router ECG4510-05E-R01|
|Edimax|RE-7438
BR6478N
Wireless Router BR-6428nS
N150 Wireless Router BR6228GNS
N300 Wireless Router BR6428NS
BR-6228nS/nC|
|Edison|unknown|
|EnGenius Technologies, Inc.|11N Wireless Router
Wireless AP Router|
|ELECOM Co.,LTD.|WRC-1467GHBK
WRC-1900GHBK
WRC-300FEBK-A
WRC-733FEBK-A|
|Esson Technology Inc.|Wifi Module ESM8196 – https://fccid.io/RKOESM8196 (therefore any device using this wifi module)|
|EZ-NET Ubiquitous Corp.|NEXT-7004N|
|FIDA|PRN3005L D5|
|Hama|unknown|
|Hawking Technologies, Inc.|HAWNR3|
|MT-Link|MT-WR600N|
|I-O DATA DEVICE, INC.|WN-AC1167R
WN-G300GR|
|IGD|1T1R|
|LG International|Axler Router LGI-R104N
Axler Router LGI-R104T
Axler Router LGI-X501
Axler Router LGI-X502
Axler Router LGI-X503
Axler Router LGI-X601
Axler Router LGI-X602
Axler Router RT-DSE|
|LINK-NET TECHNOLOGY CO., LTD.|LW-N664R2
LW-U31
LW-U700|
|Logitec|BR6428GNS
LAN-W300N3L|
|MMC Technology|MM01-005H
MM02-005H|
|MT-Link|MT-WR730N
MT-WR760N
MT-WR761N
MT-WR761N+
MT-WR860N|
|NetComm Wireless|NF15ACV|
|Netis|WF2411
WF2411I
WF2411R
WF2419
WF2419I
WF2419R
WF2681|
|Netgear|N300R|
|Nexxt Solutions|AEIEL304A1
AEIEL304U2
ARNEL304U1|
|Observa Telecom|RTA01|
|Occtel|VoIP Router ODC201AC
VoIP Router OGC200W
VoIP Router ONC200W
VoIP Router SP300-DS
VoIP Router SP5220SO
VoIP Router SP5220SP|
|Omega Technology|Wireless N Router O31 OWLR151U
Wireless N Router O70 OWLR307U|
|PATECH|Axler RT-TSE
Axler Router R104
Axler Router R3
Axler Router X503
Axler Router X603
LotteMart Router 104L
LotteMart Router 502L
LotteMart Router 503L
Router P104S
Router P501|
|PLANEX COMMUNICATIONS INC.
Planex Communications Corp.|MZK-MF300N
MZK-MR150
MZK-W300NH3
MZK-W300NR
MZK-WNHR|
|PLANET Technology|VIP-281SW|
|Realtek|RTL8196C EV-2009-02-06
RTL8xxx EV-2009-02-06
RTL8xxx EV-2010-09-20
RTL8186 EV-2006-07-27
RTL8671 EV-2006-07-27
RTL8671 EV-2010-09-20
RTL8xxx EV-2006-07-27
RTL8xxx EV-2009-02-06
RTL8xxx EV-2010-09-20|
|Revogi Systems||
|Sitecom Europe BV|Sitecom Wireless Gigabit Router WLR-4001
Sitecom Wireless Router 150N X1 150N
Sitecom Wireless Router 300N X2 300N
Sitecom Wireless Router 300N X3 300N|
|Skystation|CWR-GN150S|
|Sercomm Corp.|Telmex Infinitum|
|Shaghal Ltd.|ERACN300|
|Shenzhen Yichen (JCG) Technology Development Co., Ltd.|JYR-N490|
|Skyworth Digital Technology.|Mesh Router|
|Smartlink|unknown|
|TCL Communication|unknown|
|Technicolor|TD5137|
|Telewell|TW-EAV510|
|Tenda|AC6, AC10, W6, W9, i21|
|Totolink|A300R|
|TRENDnet, Inc.
TRENDnet Technology, Corp.|TEW-651BR
TEW-637AP
TEW-638APB
TEW-831DR|
|UPVEL|UR-315BN|
|ZTE|MF253V, MF910|
|Zyxel|P-330W
X150N
NBG-2105
NBG-416N AP Router
NBG-418N AP Router
WAP6804|

Vulnerable Realtek-Schnittstellen:

0787×612 107 KB

gibt es auch ein paar Ratschläge für den 08/15 Nutzer?
@VIP : ich lese Deinen letzten Beitrag und versteh nur Bahnhof, sorry

Schaue mal unter diesem Link nach, ob DEIN Router betroffen ist (Router-Liste ist ziemlich am Ende der Site einsehbar):

https://onekey.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/

Sollte dein Router dort nicht gelistet sein, kannst du zu 99% davon ausgehen, nicht betroffen zu sein!

Wenn du dich bei den betroffenen Modellen wiederfindest, solltest du auf jeden Fall mal in das Gerät reinschauen. Also flux anmelden an der Router-Oberfläche…

Dann auf die Suche deines verwendeten Realtek SDK (Software Development Kit) machen und mit diesen vergleichen:

• Realtek SDK v2.x

• Realtek „Jungle“ SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT

• Realtek „Luna“ SDK bis Version 1.3.2

Die hier gelisteten SDKs sind die vulnerablen Tools. Solltest du deine Version nicht bei den gelisteten SDKs wiederfinden ist alles tutti, kannst dich wieder abmelden und schlafen gehen!
Findest du deine aktuelle SDK-Version wieder, dann mal schnell zum Router-Hersteller und schauen, ob es eine aktuellere (patched) Version gibt bzw. eine aktuellere Firmware, als deine installierte…

Indikatoren für Kompromitierung:

Infrastructure (DDoS)-Botnet namens RedGoBot

Malicious IPs

• 199[.]195[.]251[.]190
• 172[.]81[.]41[.]196
• 103[.]149[.]137[.]124
• 103[.]149[.]137[.]138
• 46[.]249[.]32[.]181
• 69[.]67[.]150[.]36
• 103[.]149[.]137[.]192
• 45[.]125[.]236[.]14
• 173[.]247[.]227[.]66
• 173[.]247[.]227[.]70
• 185[.]122[.]204[.]30
• 45[.]95[.]55[.]188
• 2[.]58[.]113[.]79
• 45[.]95[.]55[.]24
• 45[.]95[.]55[.]218
• 45[.]95[.]55[.]189
• 193[.]142[.]146[.]35
• 37[.]139[.]129[.]11
• 78[.]135[.]85[.]70
• 45[.]137[.]21[.]166
• 195[.]178[.]120[.]183
• 195[.]133[.]81[.]29
• 5[.]253[.]246[.]67
• 45[.]61[.]184[.]133
• 45[.]61[.]184[.]118
• 149[.]5[.]173[.]33
• 163[.]123[.]143[.]226
• 45[.]61[.]188[.]148
• 103[.]207[.]38[.]165
• 45[.]13[.]227[.]115
• 176[.]97[.]210[.]147
• 163[.]123[.]143[.]200
• 185[.]44[.]81[.]62
• 38[.]22[.]109[.]7
• 147[.]182[.]132[.]144
• 205[.]185[.]126[.]88
• 209[.]141[.]51[.]43
• 198[.]98[.]52[.]213
• 45[.]95[.]55[.]185
• 20[.]249[.]89[.]181
• 3[.]235[.]28[.]168

Callback URLs

hxxp://185.205.12[.]157/trc/TRC[.]mpsl
hxxp://172.81.41[.]196/trc/TRC[.]mpsl
hxxp://135.148.104[.]21/mipsel
hxxp://199.195.251[.]190/trc/TRC[.]mpsl
hxxp://37.44.238[.]178/d/xd[.]mpsl
hxxp://176.97.210[.]135/assailant[.]mpsl
hxxp://198.98.56[.]129/trc/TRC[.]mpsl
hxxp://141.98.6[.]249/billy[.]sh
hxxp://185.216.71[.]157/Bins_Bot_hicore_mipsle

Artifacts

RedGoBot Malware Sample
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Mirai Samples
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Wow, Danke