Durch das Botnetz Mirai wurden im September 2016 große Unternehmen wie Twitter, CNN und Spotify beim größten DDoS-Angriff der Geschichte vom Netz genommen. Damals erwartete noch niemand, dass durch den Zusammenschluss einer Vielzahl von Internet of Things (IoT)-Geräten zu einem Botnetz ein solch massiver Angriff gestartet werden könnte.
Das Threat Intelligence Team von Avast hat nun sieben neue Varianten von Mirai analysiert und untersucht, wer dahinterstecken könnte. Die Ergebnisse zeigen, dass der Cyberkriminelle, der wohl für diese Angriffe verantwortlich ist, die Botnetze als eine Art Service vermietet. Die Änderung des Mirai-Codes zur Erstellung und Verbreitung einer neuen Botnetz-Version ist relativ einfach und obwohl die Analyse zeigt, dass wohl ein relativ unerfahrenes Scriptkiddie hinter diesen sieben neuen Mirai-Versionen steckt, so besteht dennoch ein hohes Gefahrenpotenzial.
Neue Botnetz-Varianten nach Veröffentlichung des Mirai-Quellcodes
Nachdem es ihm gelungen war, einen Großteil des Internets lahmzulegen, veröffentlichte der Autor von Mirai, der sich selbst „Anna-Senpai“ nennt, den Quellcode. Der Mirai-Code wurde schnell zu einer Art Vorlage und jeder, der eine weitere Möglichkeit sieht, die Schwachstellen neuer Geräte auszunutzen, kann diesen Code übernehmen und so eine neue Botnetz-Variante erstellen.
Im Sommer 2018 veröffentlichte der Twitter-Nutzer @400kQBOT einen Link mit dem Quellcode von sieben neuen Mirai-Varianten, woraufhin das Avast Threat Intelligence Team damit begann, deren Ursprung zu untersuchen. Die Analysen des Teams führten zu der Annahme, dass ein Cykrimineller, der sich Scarface#1162 nannte, hinter den sieben Botnetz-Varianten stecken könnte und den Zugriff auf die Botnetze als eine Art Dienstleistung vermarktet, die er dann auf YouTube und Twitter anbietet. Die Annahme des Teams, dass es sich bei 400kQbot und Scarface um dieselbe Person handelte, wurde Mitte September bestätigt, nachdem sich dieser in einem Tweet aus dem 400kQBot-Handle selbst entlarvte.
Tiefgehende Analyse der Mirai-Versionen
Bei näherer Betrachtung der sieben neuen Mirai-Varianten fand das Avast Threat Intelligence Team heraus, dass sich diese durch die von ihnen verwendete Passwortliste für Brute-Force-Angriffe auf unsichere IoT-Geräte in den dabei ausgewählten Ports und in der Architektur von der Originalversion unterschieden:
Kombinationen der Zugangsdaten: Für die Kombinationen der Zugangsdaten verwendete der ursprüngliche Mirai-Code eine Liste von 62 hardcodierten Passwörtern für Brute-Force-Angriffe auf schlecht gesicherte IoT-Geräte. Bei der Analyse der Varianten entdeckte das Avast-Team, dass sich diese Passwortliste mit jedem Bot änderte. Das Team konnte jedes der von den einzelnen Varianten verwendeten Passwörter erfassen und entschlüsseln. Avast wollte herausfinden, ob die Passwortliste aus dem Mirai-Code stammt und ob es Überlappungen gibt. Die umfangreichste Passwortliste wird in der Saikin-Variante verwendet, die 80 Passwörter enthält, von denen sich nur vier mit dem ursprünglichen Mirai-Code decken. Mit der Entscheidung zur Implementierung verschiedener Passwortlisten visieren die Angreifer vermutlich eine größere Anzahl von IoT-Geräten an.
Neue Ports: Wie auch Mirai besitzen alle Varianten ein Modul „killer.c“, das verschiedenen Zwecken dient. Zuerst beseitigt es andere Malware, die möglicherweise bereits auf dem betroffenen Gerät ausgeführt wird. Zweitens verhindert es, dass Dritte Fernzugriff auf das Gerät per Telnet, SSH oder HTTP erhalten. Die Analyse offenbart, dass fünf der sieben Varianten (alle außer Saikin und Josho_V3) neben den Kill-Ports von Mirai neue protokoll- bzw. gerätespezifische Ports in die Kill-Listen aufgenommen hatten. Die Aufnahme dieser Ports sollte es dem Autor des Botnetzes ermöglichen, sich mit mehreren Geräten zu verbinden und gleichzeitig Dritten den Fernzugriff auf diese Geräte unmöglich zu machen.
Neue Architekturen: Alle vom Threat Intelligence Team untersuchten Mirai-Varianten zielen auf dieselben Architekturen ab wie Mirai. Nur drei – Sora, Saikin und Akiru – haben zwei neue Architekturen hinzugefügt: ARC (Argonaut RISC Core) und RCE (Motorola RCE)
Das Threat Intelligence Team erklärt: „Unsere Analyse zeigt, dass sich die neuen Varianten zwar nicht maßgeblich vom originalen Mirai-Sourcecode unterscheiden, sie aber dennoch großen Schaden anrichten könnten. Sie zielen im Vergleich zum ursprünglichen Mirai-Botnetz auf eine größere Zahl und auf weitere Kategorien von IoT-Geräten ab, indem sie die für Brute-Force-Angriffe verwendeten Passwortlisten variieren und neue Ports als Ziele hinzufügen. Je mehr Botnetz-Varianten im Umlauf sind, desto größer der potenzielle Schaden, der entstehen kann. Für Nutzer bedeutet dies, dass die Bedrohung real ist: Wenn Geräte im Haushalt, wie z. B. ein Babyphon oder ein Router, einem Angriff zum Opfer fallen, dann kann der Cyberkriminelle auch auf die anderen vernetzten Geräte in der Wohnung zugreifen. Nutzer sollten die Standard-Passwörter ihrer IoT-Geräte durch komplexe eigene Passwörter ersetzen und darauf achten, die Firmware zu aktualisieren, sobald neue Versionen verfügbar sind.“
Avast empfiehlt die folgenden Schritte zum Schutz von IoT-Geräten und Smart Homes:
- Ändern Sie bei der Einrichtung von vernetzten Geräten das Standardpasswort des Routers und der IoT-Geräte.
- Halten Sie die Geräte mit Firmware-Updates stets auf dem neuesten Stand.
- Deaktivieren Sie die Remote-Verwaltung in den Router-Einstellungen.
- Wenn Sie unsicher sind, ob das Gerät infiziert wurde, ziehen Sie ein Zurücksetzen auf Werkseinstellungen in Betracht und beginnen Sie ggf. wieder mit Schritt 1.
Einen Vergleich und eine Analyse der Varianten einschließlich deren Namen, Kombinationen von Zugangsdaten, Ports, Architekturen und Details zu der Annahme, dass ein Scriptkiddie hinter den Varianten stecken könnte, finden Sie im Avast-Blog: https://blog.avast.com/hacker-creates-seven-new-variants-of-the-mirai-botnet
www.avast.com