Nachwuchs in der IoT Botnet Familie – „IoT_reaper“

Es gibt Nachwuchs in der IoT Botnet Familie

Der neue Bot wurde schon im März erstmals beobachtet und hat teilweise Code aus dem  „Mirai-Botnet“ übernommen. Er unterscheidet sich aber in einigen Punkten vom „Stammvater“. Während „Miarai“ noch versuchte via Passwort „rein zukommen“,  konzentriert sich der jüngste Spross auf Schwachstellen, die ohne Passwort ausgenutzt werden können.

„IoT_reaper“ expandiert derzeit aktiv. blog.netlab.360.com, beispielsweise, nimmt an, dass  die Anzahl der eindeutig aktiven Bot-IP-Adressen um mehr als 10k pro Tag wächst. Gleichzeitig befinden sich Millionen potenziell gefährlicher Geräte-IPs in der Warteschlange, die darauf wartet, von einem automatischen Loader verarbeitet zu werden

Derzeit befindet sich das Botnetz noch in einem frühen Stadium der Expansion.

Von Mirai gelernt

„Der größte Unterschied zwischen beiden besteht darin, dass Mirai versucht hat, über telnet eine Verbindung zu Geräten herzustellen, wobei standardmäßige oder schwache Passwörter verwendet wurden, um die Kontrolle über Geräte zu erlangen“, sagte Tristan Liverpool, Director Systems Engineering bei F5 Networks per E-Mail gegenüber InfoSecurity. „Im Gegensatz dazu versucht das Reaper-Botnetz, Exploits auf ungepatchten Geräten einzusetzen, die Kontrolle über sie zu übernehmen und sie der Command & Control-Plattform (C & C) hinzuzufügen. Dies bedeutet, dass es weiter wachsen und für alle Arten von kriminellen Aktivitäten genutzt werden kann. „

Das Botnet nutzt teilweise den Mirai-Quellcode, unterscheidet sich aber wesentlich von Mirai in mehreren wichtigen Verhaltensweisen:

  • Keine schwachen Passwörter mehr zu knacken, nur Schwachstellen von IoT-Geräten werden ausgenutzt.
  • Eine LUA-Ausführungsumgebung ist integriert, sodass komplexere Angriffe unterstützt und ausgeführt werden können.
  • Das Scan-Verhalten ist nicht sehr aggressiv, sodass es unter dem Radar bleiben kann.
  • Musterlieferung, C2-Verteilung und Trafficmuster (C2 ist eine Sicherheitsbewertung, die vom US-amerikanischen Nationalen Computer-Sicherheitscenter (NCSC) festgelegt und für Produkte erteilt wurde, die die Tests des TCSEC des Department of Defense (DoD) bestanden haben. )

Die üblichen Verdächtigen

Die Reaper-Malware hat einen Haufen IoT-Craker-Techniken aggregiert, darunter neun Angriffe auf Router von D-Link, Netgear und Linksys sowie auf an das Netz  angeschlossene Überwachungskameras, einschließlich solcher, die von Unternehmen wie Vacron, GoAhead und AVTech hergestellt wurden. Während viele dieser Hersteller Patches zur Verfügung stellen, sind die meisten Verbraucher nicht in der Lage, ihren Heimnetzwerk-Router zu patchen, ganz zu schweigen von ihren Überwachungskamerasystemen.

Jeder, der befürchtet, dass sein Gerät gefährdet sein könnte, sollte die Liste der betroffenen Geräte überprüfen. Eine Analyse des IP-Verkehrs von diesen Geräten sollte aufzeigen, ob sie mit dem Command-and-Control-Server kommunizieren, der von dem unbekannten Cracker genutzt wird.

Befindet sich Ihr Gerät bereits in den einschlägigen Listen können Sie probieren es via Adminkonsole zu aktualisieren, oder ggf. einen Werksreset der Firmware durchzuführen.

Wie üblich sind es jedoch nicht die Besitzer der infizierten Maschinen, die den realen Preis zahlen. Stattdessen wären die Opfer die potenziellen Ziele dieses Botnets, sobald der Besitzer seine volle DDoS-Feuerkraft freisetzt.

4. Kölner | IT-Security-Konferenz | 23.11.2017

Für IT-Verantwortliche / IT-Leiter & Führungskräfte / Auditoren / ITSIBE / IT-Pros

Wenn Sie dieses Thema interessiert können Sie noch bis zum 19.11. Tickets für unsere IT Sicherheitskonferenz „KISK“ buchen, dort spielt auch IoT Themen eine wichtige Rolle z.B.:

Themengebiet

  • Internet der Dinge
  • Industrie 4.0

Zielgruppe

IT-Sicherheitsverantwortliche, Entwickler, Administratoren, Netzwerkverantwortliche, EDV-Leiter, IT-Sicherheitsbeauftragte, Datenschutzbeauftragte und Revisoren.

Beschreibung des Vortrages

Dieser Vortrag gibt einen Überblick über Sicherheitsprobleme, die spezifisch sind für Anwendungen und Produkte im Internet der Dinge und bei Industrie 4.0. Beantwortet werden Fragen wie „Was wird immer wieder falsch gemacht?“, „Welche Ursachen hat das?“ oder auch „Wie könnte man es besser machen?“. Zahlreiche Beispiele illustrieren die Problematik und die Vorgehensweise der Angreifer.

Speaker

Stefan Strobel, Geschäftsführer der cirosec GmbH.

Er verfügt über langjährige Erfahrungen in der Beratung großer Firmen mit sehr hohem Sicherheitsbedarf und in der Erstellung von Konzepten und Policies. Neben seiner Tätigkeit hält er regelmäßig Vorträge an Hochschulen und auf Sicherheitskonferenzen und ist Autor verschiedener Fachbücher, die in mehreren Sprachen erschienen sind.