Die Mirai-Malware nutzt Sicherheitslücken in IoT-Geräten aus und kann sich der kollektiven Leistung von Millionen von IoT-Geräten in Botnetzen bedienen, um Angriffe zu starten.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Botnetz – was ist das?
Was ist ein Denial-of-Service-Angriff?
So funktioniert DDoS | DoS und DDoS-Angriffstools
Was ist das Internet of Things (IoT)?
Was ist DDoS-Blackhole-Routing?
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Mirai ist Malware, die auf ARC-Prozessoren ausgeführte Smart Devices infiziert und sie in ein Netzwerk von ferngesteuerten Bots oder „Zombies“ verwandelt. Dieses Netzwerk von Bots, also das Botnetz, wird häufig verwendet, um DDoS-Angriffe zu starten.
Malware, kurz für böswillige Software, ist ein Überbegriff, der Computerwürmer, Viren, Trojaner, Rootkits und Spyware umfasst.
Im September 2016 starteten die Autoren der Mirai-Malware einen DDoS-Angriff auf die Website eines bekannten Sicherheitsexperten. Eine Woche später veröffentlichten sie den Quellcode, möglicherweise um die Ursprünge dieses Angriffs zu verbergen. Dieser Code wurde von anderen Cyberkriminellen schnell repliziert und steht vermutlich hinter dem massiven Angriff, der den Domainregistrierungsdienstleister Dyn im Oktober 2016 zum Erliegen brachte.
Mirai durchsucht das Internet nach IoT-Geräten, die auf dem ARC-Prozessor ausgeführt werden. Auf diesem Prozessor läuft eine reduzierte Version des Linux-Betriebssystems. Wenn die Standardkombination aus Benutzername und Kennwort nicht geändert wurde, kann sich Mirai beim Gerät anmelden und es infizieren.
IoT, kurz für Internet of Things, ist nur ein ausgefallener Begriff für Smart Devices, die eine Verbindung zum Internet herstellen können. Zu diesen Geräten gehören Babyphone, Fahrzeuge, Netzwerkrouter, landwirtschaftliche Geräte, medizinische Geräte, Umweltüberwachungsgeräte, Haushaltsgeräte, DVRs, CC-Kameras, Headsets oder sogar Rauchmelder.
Das Mirai-Botnetz verwendete hunderttausend entführte IoT-Geräte, um Dyn zum Abstürzen zu bringen.
Der 21-jährige Paras Jha und der 20-jährige Josiah White gründeten Protraf Solutions, ein Unternehmen, das Abwehrdienste für DDoS-Angriffe anbot. Hier handelte es sich um einen klassischen Fall von Racketeering: Ihr Unternehmen bot genau den Organisationen, die von ihrer Schadsoftware angegriffen wurden, DDoS-Abwehrdienste an.
Mirai mutiert.
Auch nachdem die ursprünglichen Entwickler gestellt wurden, lebt ihr Quellcode weiter. Er hat Varianten wie Okiru, Satori, Masuta und PureMasuta hervorgebracht. PureMasuta kann beispielsweise den HNAP-Fehler in D-Link-Geräten als Waffe einsetzen. Der OMG-Stamm hingegen wandelt IoT-Geräte in Proxys um, mit denen Cyberkriminelle anonym bleiben können.
Es gibt auch das kürzlich entdeckte und leistungsstarke Botnetz mit dem Spitznamen IoTrooper and Reaper, das IoT-Geräte viel schneller kompromittieren kann als Mirai. Der Reaper kann eine größere Anzahl von Geräteherstellern anvisieren und hat eine weitaus größere Kontrolle über seine Bots.
Wenn Sie sich ein Botnetz als Theaterstück vorstellen, ist der C&C-Server (Command and Control Server, auch als C2 bekannt) der Regisseur. Die Schauspieler in diesem Stück sind die verschiedenen Bots, die durch Malware-Infektionen kompromittiert und zum Teil des Botnetzes wurden.
Wenn die Malware ein Gerät infiziert, sendet der Bot zeitgesteuerte Signale, um das C&C darüber zu informieren, dass er jetzt existiert. Diese Verbindungssitzung bleibt offen, bis der C&C bereit ist, dem Bot Befehle zu erteilen. Dies kann das Versenden von Spam, das Knacken von Passwörtern, DDoS-Angriffe und vieles mehr umfassen.
In einem zentralisierten Botnetz kann das C&C die Befehle direkt an die Bots übertragen. Das C&C ist jedoch auch ein Single Point of Failure: Wenn es heruntergefahren wird, wird das Botnetz unwirksam.
Botnetz-Steuerung kann in mehreren Ebenen mit mehreren C&Cs organisiert sein. Gruppen von dedizierten Servern können für einen bestimmten Zweck ausgewählt werden, z. B. um die Bots in Untergruppen zu organisieren, um bestimmte Inhalte bereitzustellen und so weiter. Dies erschwert die Zerstörung des Botnetzes.
P2P-Botnets (Peer-to-Peer) sind die nächste Generation von Botnetzen. Anstatt mit einem zentralen Server zu kommunizieren, fungieren P2P-Bots als Befehlsserver und als Client, der Befehle empfängt. Dies vermeidet das Single-Point-of-Failure-Problem, das zentralisierten Botnetzen inhärent ist. Da P2P-Botnetze ohne C&C arbeiten, ist es schwieriger, sie lahmzulegen. Trojan.Peacomm und Stormnet sind Beispiele für Malware hinter P2P-Botnetzen.
Im Allgemeinen ist E-Mail-Phishing eine nachweislich effektive Methode zur Infektion des Computers. Das Opfer wird dazu verleitet, entweder auf einen Link zu klicken, der ihn auf eine böswillige Website führt, oder einen infizierten Anhang herunterzuladen. Oft ist der Schadcode so geschrieben, dass gängige Antivirensoftware ihn nicht erkennen kann.
Im Fall von Mirai muss der Benutzer nicht viel weiter tun, als den Standardbenutzernamen und das Standardkennwort auf einem neu installierten Gerät unverändert zu lassen.
Pay-per-Click (PPC), auch als Cost-per-Click (CPC) bekannt, ist eine Form der Online-Werbung, bei der ein Unternehmen eine Website für das Hosten seiner Werbung bezahlt. Die Höhe der Zahlung hängt davon ab, wie viele Besucher dieser Website auf diese Anzeige geklickt haben.
Wenn CPC-Daten betrügerisch manipuliert werden, spricht man von Klick-Betrug. Dies kann durch manuelles Klicken auf die Anzeige, mithilfe automatisierter Software oder mithilfe von Bots erfolgen. Durch diesen Prozess können betrügerische Gewinne für die Website auf Kosten des Unternehmens erzielt werden, das diese Anzeigen platziert.
Die ursprünglichen Entwickler von Mirai wurden verurteilt, weil sie ihr Botnetz für DDoS-Angriffe und Klickbetrug vermietet hatten.
Botnetze können praktisch jeden Aspekt des Lebens einer Person beeinflussen, unabhängig davon, ob sie IoT-Geräte oder sogar einfach das Internet verwendet. Botnetze können:
Es gibt viele Gründe, warum es so schwierig ist, die Verbreitung von Botnetzen anzuhalten:
Es gibt keine Kosten oder Betriebsunterbrechungen, daher besteht kein Anreiz dazu, das Smart Gerät zu sichern.
Infizierte Systeme können mit einem Neustart bereinigt werden. Da jedoch konstant nach potenziellen Bots gesucht wird, können sie innerhalb von Minuten nach dem Neustart erneut infiziert werden. Das heißt, dass Benutzer das Standardkennwort sofort nach dem Neustart ändern müssen. Oder sie müssen verhindern, dass das Gerät auf das Internet zugreift, bis sie die Firmware zurücksetzen und das Kennwort offline ändern können. Die meisten Gerätebesitzer haben weder das Know-how noch die Motivation dazu.
Der erhöhte Traffic im Netzwerk des infizierten Geräts ist normalerweise nicht einmal so groß wie der Traffic, den Medien-Streaming generiert. Daher besteht kein großer Anreiz, sich darum Gedanken zu machen.
Für Gerätehersteller besteht kaum ein Anreiz, in die Sicherheit kostengünstiger Geräte zu investieren. Sie für Angriffe haftbar zu machen, könnte eine Möglichkeit sein, Änderungen zu erzwingen, obwohl dies in Regionen mit laxer Durchsetzung möglicherweise nicht funktioniert.
Gerätesicherheit zu ignorieren, ist sehr gefährlich: Mirai kann beispielsweise Antivirensoftware deaktivieren, was die Erkennung schwierig macht.
Mit mehr als eineinhalb Milliarden Geräten, die auf ARC-Prozessoren basieren und jedes Jahr den Markt überschwemmen, bedeutet die schiere Anzahl von Geräten, die in leistungsstarke Botnetze eingezogen werden können, dass diese Malware-Varianten größere Schäden verursachen können.
Ready-to-Go-Botnet-Kits machen technische Kenntnisse überflüssig. Für 14,99 bis 19,99 $ kann ein Botnetz für einen ganzen Monat geleast werden. Für mehr Informationen schauen Sie den Artikel Was ist ein DDoS-Booter/Stresser? an.
Es gibt keine globale Organisation und keinen Konsens, um IoT-Sicherheitsstandards zu definieren und durchzusetzen.
Während für einige Geräte Sicherheitspatches existieren, sind Benutzer möglicherweise nicht technisch versiert oder motiviert genug, um Updates vorzunehmen. Viele Hersteller von günstigen Geräten bieten überhaupt keine Wartung an. Wenn sie Wartung anbieten, dann meistens nicht langfristig. Es gibt auch keine Möglichkeit, Geräte außer Betrieb zu setzen, wenn die Updates nicht mehr gepflegt werden. So werden sie auf unbestimmte Zeit unsicher.
Die Schwierigkeit, Botnetz-Entwickler aufzuspüren und strafrechtlich zu verfolgen, erschwert die Eindämmung der Botnetz-Verbreitung. Für Cyberkriminalität gibt es kein globales Interpol-Äquivalent (Internationale Organisation der Kriminalpolizei) mit entsprechenden Ermittlungsfähigkeiten. Strafverfolgungsbehörden auf der ganzen Welt sind in der Regel nicht in der Lage, mit Cyberkriminellen Schritt zu halten, wenn es um die neuesten Technologien geht.
Viele Botnetze verwenden jetzt eine DNS-Technik namens Fast Flux, um die Domains zu verbergen, die sie zum Herunterladen von Malware oder zum Hosten von Phishing-Sites verwenden. Dies macht es extrem schwierig, sie aufzuspüren und auszuschalten.
Gut möglich. Hin und wieder funktionieren infizierte Geräte möglicherweise nur schleppend, laufen jedoch meistens wie vorgesehen. Die Eigentümer sind daher nicht besonders motiviert, nach einer Möglichkeit zu suchen, um die Infektion zu beseitigen.
Eine geplante Gesetzgebung des kalifornischen Gouverneurs, Jerry Brown, verlangt, dass IoT-Geräte über angemessene Sicherheitsmerkmale verfügen, die „der Art und Funktion des Geräts angemessen sind“. Dies würde im Januar 2020 in Kraft treten.
Warum ist diese Gesetzgebung so wichtig? Der lukrative kalifornische Markt macht es Unternehmen unmöglich, das Gesetz zu ignorieren. Wenn sie ihre Geräte in Kalifornien verkaufen möchten, müssen sie die Sicherheit ihrer Geräte verbessern. Am Ende profitieren alle Länder davon.