Botnetz Mirai beschränkt sich nicht mehr nur auf IoT-Geräte

Illustration: Absmeier, Avast

Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von ASERT, ein Team aus Sicherheitsspezialisten des Unternehmens NETSCOUT Arbor. Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big-Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

Die entdeckte Schwachstelle in Hadoop Yarn ermöglicht es den Angreifern, beliebige Shell-Befehle auszuführen und darüber Malware zu installieren. Dies sind Varianten der Mirai-Malware, die ursprünglich dafür entwickelt wurden, um Geräte im Internet of Things – wie zum Beispiel IP-Kameras und digitale Videorekorder – zu manipulieren. Da diese Art der Infizierung inzwischen in den Fokus der Öffentlichkeit gelangt ist und daher Schutzmaßnahmen besser werden, entwickelten die Cyberkriminellen nun die x86-Version.

Anstatt sich darauf zu verlassen, dass sich Bots selbstständig verbreiten, steuern die Angreifer die die Verbreitung des Exploits nun selbst. Eine relativ kleine Anzahl von Angreifern verwendet dazu eigens programmierte Tools, um die Hadoop-YARN-Schwachstelle zu erkennen und dann die Linux-Malware zu verbreiten. Die Vorteile einer solchen Anpassung liegen für die Angreifer auf der Hand: Verglichen mit IoT-Geräten haben Linux-Server in privaten Netzwerken deutlich mehr Bandbreite. Dies macht sie zu wesentlich effizienteren DDoS-Bots. Daher kann schon eine Handvoll gut ausgestatteter Linux-Server Angriffe erzeugen, die einem IoT-Botnetz mit deutlich mehr Geräten Konkurrenz macht.

Für die Angreifer ist es zudem deutlich einfacher, die x86-Monokultur von Linux-Servern anzugreifen als die breite Auswahl an CPU-Derivaten, die in IoT-Geräten verwendet werden. Das Ziel der, bisher noch eher kleinen, Hacker-Gruppe ist klar: die Malware auf möglichst vielen Geräten zu verbreiten. Und aufgrund der Leistungsfähigkeit der Server lauert hier ein enormes Gefahrenpotenzial.

https://www.netscout.com/arbor-ddos

 


 

Sieben neue Varianten von Mirai

 

Durch das Botnetz Mirai wurden im September 2016 große Unternehmen wie Twitter, CNN und Spotify beim größten DDoS-Angriff der Geschichte vom Netz genommen. Damals erwartete noch niemand, dass durch den Zusammenschluss einer Vielzahl von Internet of Things (IoT)-Geräten zu einem Botnetz ein solch massiver Angriff gestartet werden könnte.

 

Das Threat Intelligence Team von Avast hat nun sieben neue Varianten von Mirai analysiert und untersucht, wer dahinterstecken könnte. Die Ergebnisse zeigen, dass der Cyberkriminelle, der wohl für diese Angriffe verantwortlich ist, die Botnetze als eine Art Service vermietet. Die Änderung des Mirai-Codes zur Erstellung und Verbreitung einer neuen Botnetz-Version ist relativ einfach und obwohl die Analyse zeigt, dass wohl ein relativ unerfahrenes Scriptkiddie hinter diesen sieben neuen Mirai-Versionen steckt, so besteht dennoch ein hohes Gefahrenpotenzial.

 

Neue Botnetz-Varianten nach Veröffentlichung des Mirai-Quellcodes

Nachdem es ihm gelungen war, einen Großteil des Internets lahmzulegen, veröffentlichte der Autor von Mirai, der sich selbst »Anna-Senpai« nennt, den Quellcode. Der Mirai-Code wurde schnell zu einer Art Vorlage und jeder, der eine weitere Möglichkeit sieht, die Schwachstellen neuer Geräte auszunutzen, kann diesen Code übernehmen und so eine neue Botnetz-Variante erstellen.

Im Sommer 2018 veröffentlichte der Twitter-Nutzer @400kQBOT einen Link mit dem Quellcode von sieben neuen Mirai-Varianten, woraufhin das Avast Threat Intelligence Team damit begann, deren Ursprung zu untersuchen. Die Analysen des Teams führten zu der Annahme, dass ein Cykrimineller, der sich Scarface#1162 nannte, hinter den sieben Botnetz-Varianten stecken könnte und den Zugriff auf die Botnetze als eine Art Dienstleistung vermarktet, die er dann auf YouTube und Twitter anbietet. Die Annahme des Teams, dass es sich bei 400kQbot und Scarface um dieselbe Person handelte, wurde Mitte September bestätigt, nachdem sich dieser in einem Tweet aus dem 400kQBot-Handle selbst entlarvte.

 

Tiefgehende Analyse der Mirai-Versionen

Bei näherer Betrachtung der sieben neuen Mirai-Varianten fand das Avast Threat Intelligence Team heraus, dass sich diese durch die von ihnen verwendete Passwortliste für Brute-Force-Angriffe auf unsichere IoT-Geräte in den dabei ausgewählten Ports und in der Architektur von der Originalversion unterschieden:

  • Kombinationen der Zugangsdaten: Für die Kombinationen der Zugangsdaten verwendete der ursprüngliche Mirai-Code eine Liste von 62 hardcodierten Passwörtern für Brute-Force-Angriffe auf schlecht gesicherte IoT-Geräte. Bei der Analyse der Varianten entdeckte das Avast-Team, dass sich diese Passwortliste mit jedem Bot änderte. Das Team konnte jedes der von den einzelnen Varianten verwendeten Passwörter erfassen und entschlüsseln. Avast wollte herausfinden, ob die Passwortliste aus dem Mirai-Code stammt und ob es Überlappungen gibt. Die umfangreichste Passwortliste wird in der Saikin-Variante verwendet, die 80 Passwörter enthält, von denen sich nur vier mit dem ursprünglichen Mirai-Code decken. Mit der Entscheidung zur Implementierung verschiedener Passwortlisten visieren die Angreifer vermutlich eine größere Anzahl von IoT-Geräten an.
  • Neue Ports: Wie auch Mirai besitzen alle Varianten ein Modul »killer.c«, das verschiedenen Zwecken dient. Zuerst beseitigt es andere Malware, die möglicherweise bereits auf dem betroffenen Gerät ausgeführt wird. Zweitens verhindert es, dass Dritte Fernzugriff auf das Gerät per Telnet, SSH oder HTTP erhalten. Die Analyse offenbart, dass fünf der sieben Varianten (alle außer Saikin und Josho_V3) neben den Kill-Ports von Mirai neue protokoll- beziehungsweise gerätespezifische Ports in die Kill-Listen aufgenommen hatten. Die Aufnahme dieser Ports sollte es dem Autor des Botnetzes ermöglichen, sich mit mehreren Geräten zu verbinden und gleichzeitig Dritten den Fernzugriff auf diese Geräte unmöglich zu machen.
  • Neue Architekturen: Alle vom Threat Intelligence Team untersuchten Mirai-Varianten zielen auf dieselben Architekturen ab wie Mirai. Nur drei – Sora, Saikin und Akiru – haben zwei neue Architekturen hinzugefügt: ARC (Argonaut RISC Core) und RCE (Motorola RCE)

 

Das Threat Intelligence Team erklärt: »Unsere Analyse zeigt, dass sich die neuen Varianten zwar nicht maßgeblich vom originalen Mirai-Sourcecode unterscheiden, sie aber dennoch großen Schaden anrichten könnten. Sie zielen im Vergleich zum ursprünglichen Mirai-Botnetz auf eine größere Zahl und auf weitere Kategorien von IoT-Geräten ab, indem sie die für Brute-Force-Angriffe verwendeten Passwortlisten variieren und neue Ports als Ziele hinzufügen. Je mehr Botnetz-Varianten im Umlauf sind, desto größer der potenzielle Schaden, der entstehen kann. Für Nutzer bedeutet dies, dass die Bedrohung real ist: Wenn Geräte im Haushalt, wie z. B. ein Babyphon oder ein Router, einem Angriff zum Opfer fallen, dann kann der Cyberkriminelle auch auf die anderen vernetzten Geräte in der Wohnung zugreifen. Nutzer sollten die Standard-Passwörter ihrer IoT-Geräte durch komplexe eigene Passwörter ersetzen und darauf achten, die Firmware zu aktualisieren, sobald neue Versionen verfügbar sind.«

 

Avast empfiehlt die folgenden Schritte zum Schutz von IoT-Geräten und Smart Homes:

  1. Ändern Sie bei der Einrichtung von vernetzten Geräten das Standardpasswort des Routers und der IoT-Geräte.
  2. Halten Sie die Geräte mit Firmware-Updates stets auf dem neuesten Stand.
  3. Deaktivieren Sie die Remote-Verwaltung in den Router-Einstellungen.
  4. Wenn Sie unsicher sind, ob das Gerät infiziert wurde, ziehen Sie ein Zurücksetzen auf Werkseinstellungen in Betracht und beginnen Sie ggf. wieder mit Schritt 1.

 

Einen Vergleich und eine Analyse der Varianten einschließlich deren Namen, Kombinationen von Zugangsdaten, Ports, Architekturen und Details zu der Annahme, dass ein Scriptkiddie hinter den Varianten stecken könnte, finden Sie im Avast-Blog: https://blog.avast.com/hacker-creates-seven-new-variants-of-the-mirai-botnet

DDoS-Angriff kann Unternehmen Millionen kosten

IoT-Sicherheit: Willkommen im Botnet

Smart Home: Nur Geräte mit Datenschutzerklärung kaufen

Ransomware der Dinge: Das IoT-Gerät als Geisel

Cyberkriminelle können mit gekaperten IoT-Geräten eine Armee zum Schürfen von Kryptowährungen erschaffen

Cyberkriminelle vs. Abwehrtechnologien – Zehn Security-Trends

Ungeschützte Smart Homes sind eine Einladung für Hacker

 

Weitere Artikel zu