Was ist das Mirai Botnetz?

Die Mirai-Malware nutzt Sicherheitslücken in IoT-Geräten aus und kann sich der kollektiven Leistung von Millionen von IoT-Geräten in Botnetzen bedienen, um Angriffe zu starten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Mehr über das Mirai-Botnetz erfahren
  • Wie mutieren Botnetze?
  • Warum Botnetze gefährlich sind
  • Was haben IoT-Geräte mit Botnetze zu tun?

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist Mirai?

Mirai ist Malware, die auf ARC-Prozessoren ausgeführte Smart Devices infiziert und sie in ein Netzwerk von ferngesteuerten Bots oder „Zombies“ verwandelt. Dieses Netzwerk von Bots, also das Botnetz, wird häufig verwendet, um DDoS-Angriffe zu starten.

Botnetz – vernetzte böswillige Bots

Malware, kurz für böswillige Software, ist ein Überbegriff, der Computerwürmer, Viren, Trojaner, Rootkits und Spyware umfasst.

Im September 2016 starteten die Autoren der Mirai-Malware einen DDoS-Angriff auf die Website eines bekannten Sicherheitsexperten. Eine Woche später veröffentlichten sie den Quellcode, möglicherweise um die Ursprünge dieses Angriffs zu verbergen. Dieser Code wurde von anderen Cyberkriminellen schnell repliziert und steht vermutlich hinter dem massiven Angriff, der den Domainregistrierungsdienstleister Dyn im Oktober 2016 zum Erliegen brachte.

Wie funktioniert Mirai?

Mirai durchsucht das Internet nach IoT-Geräten, die auf dem ARC-Prozessor ausgeführt werden. Auf diesem Prozessor läuft eine reduzierte Version des Linux-Betriebssystems. Wenn die Standardkombination aus Benutzername und Kennwort nicht geändert wurde, kann sich Mirai beim Gerät anmelden und es infizieren.

IoT, kurz für Internet of Things, ist nur ein ausgefallener Begriff für Smart Devices, die eine Verbindung zum Internet herstellen können. Zu diesen Geräten gehören Babyphone, Fahrzeuge, Netzwerkrouter, landwirtschaftliche Geräte, medizinische Geräte, Umweltüberwachungsgeräte, Haushaltsgeräte, DVRs, CC-Kameras, Headsets oder sogar Rauchmelder.

Das Mirai-Botnetz verwendete hunderttausend entführte IoT-Geräte, um Dyn zum Abstürzen zu bringen.

Wer hat das Mirai-Botnetzes kreiert?

Der 21-jährige Paras Jha und der 20-jährige Josiah White gründeten Protraf Solutions, ein Unternehmen, das Abwehrdienste für DDoS-Angriffe anbot. Hier handelte es sich um einen klassischen Fall von Racketeering: Ihr Unternehmen bot genau den Organisationen, die von ihrer Schadsoftware angegriffen wurden, DDoS-Abwehrdienste an.

Warum bleibt die Mirai-Malware gefährlich?

Mirai mutiert.

Auch nachdem die ursprünglichen Entwickler gestellt wurden, lebt ihr Quellcode weiter. Er hat Varianten wie Okiru, Satori, Masuta und PureMasuta hervorgebracht. PureMasuta kann beispielsweise den HNAP-Fehler in D-Link-Geräten als Waffe einsetzen. Der OMG-Stamm hingegen wandelt IoT-Geräte in Proxys um, mit denen Cyberkriminelle anonym bleiben können.

Es gibt auch das kürzlich entdeckte und leistungsstarke Botnetz mit dem Spitznamen IoTrooper and Reaper, das IoT-Geräte viel schneller kompromittieren kann als Mirai. Der Reaper kann eine größere Anzahl von Geräteherstellern anvisieren und hat eine weitaus größere Kontrolle über seine Bots.

Was sind die verschiedenen Botnetz-Modelle?

Zentralisierte Botnetze

Wenn Sie sich ein Botnetz als Theaterstück vorstellen, ist der C&C-Server (Command and Control Server, auch als C2 bekannt) der Regisseur. Die Schauspieler in diesem Stück sind die verschiedenen Bots, die durch Malware-Infektionen kompromittiert und zum Teil des Botnetzes wurden.

Wenn die Malware ein Gerät infiziert, sendet der Bot zeitgesteuerte Signale, um das C&C darüber zu informieren, dass er jetzt existiert. Diese Verbindungssitzung bleibt offen, bis der C&C bereit ist, dem Bot Befehle zu erteilen. Dies kann das Versenden von Spam, das Knacken von Passwörtern, DDoS-Angriffe und vieles mehr umfassen.

In einem zentralisierten Botnetz kann das C&C die Befehle direkt an die Bots übertragen. Das C&C ist jedoch auch ein Single Point of Failure: Wenn es heruntergefahren wird, wird das Botnetz unwirksam.

Tiered C&Cs

Botnetz-Steuerung kann in mehreren Ebenen mit mehreren C&Cs organisiert sein. Gruppen von dedizierten Servern können für einen bestimmten Zweck ausgewählt werden, z. B. um die Bots in Untergruppen zu organisieren, um bestimmte Inhalte bereitzustellen und so weiter. Dies erschwert die Zerstörung des Botnetzes.

Dezentrale Botnetze

P2P-Botnets (Peer-to-Peer) sind die nächste Generation von Botnetzen. Anstatt mit einem zentralen Server zu kommunizieren, fungieren P2P-Bots als Befehlsserver und als Client, der Befehle empfängt. Dies vermeidet das Single-Point-of-Failure-Problem, das zentralisierten Botnetzen inhärent ist. Da P2P-Botnetze ohne C&C arbeiten, ist es schwieriger, sie lahmzulegen. Trojan.Peacomm und Stormnet sind Beispiele für Malware hinter P2P-Botnetzen.

Wie verwandelt Malware IoT-Geräte in Bots oder Zombies?

Im Allgemeinen ist E-Mail-Phishing eine nachweislich effektive Methode zur Infektion des Computers. Das Opfer wird dazu verleitet, entweder auf einen Link zu klicken, der ihn auf eine böswillige Website führt, oder einen infizierten Anhang herunterzuladen. Oft ist der Schadcode so geschrieben, dass gängige Antivirensoftware ihn nicht erkennen kann.

Im Fall von Mirai muss der Benutzer nicht viel weiter tun, als den Standardbenutzernamen und das Standardkennwort auf einem neu installierten Gerät unverändert zu lassen.

Welche Verbindung besteht zwischen Mirai und Klickbetrug?

Pay-per-Click (PPC), auch als Cost-per-Click (CPC) bekannt, ist eine Form der Online-Werbung, bei der ein Unternehmen eine Website für das Hosten seiner Werbung bezahlt. Die Höhe der Zahlung hängt davon ab, wie viele Besucher dieser Website auf diese Anzeige geklickt haben.

Wenn CPC-Daten betrügerisch manipuliert werden, spricht man von Klick-Betrug. Dies kann durch manuelles Klicken auf die Anzeige, mithilfe automatisierter Software oder mithilfe von Bots erfolgen. Durch diesen Prozess können betrügerische Gewinne für die Website auf Kosten des Unternehmens erzielt werden, das diese Anzeigen platziert.

Die ursprünglichen Entwickler von Mirai wurden verurteilt, weil sie ihr Botnetz für DDoS-Angriffe und Klickbetrug vermietet hatten.

Warum sind Botnetze gefährlich?

Botnetze können praktisch jeden Aspekt des Lebens einer Person beeinflussen, unabhängig davon, ob sie IoT-Geräte oder sogar einfach das Internet verwendet. Botnetze können:

  • ISPs angreifen, was manchmal zu Denial-of-Service von legitimen Traffic führt
  • Spam-E-Mail senden
  • DDoS-Angriffe starten und Websites und APIs zum Erliegen bringen
  • Klickbetrug durchführen
  • Schwache CAPTCHA-Herausforderungen auf Websites lösen, um menschliches Verhalten während der Anmeldung nachzuahmen
  • Kreditkarteninformationen stehlen
  • Von Unternehmen mit Bedrohungen durch DDoS-Angriffe Lösegeld verlangen

Warum ist die Verbreitung von Botnetzen so schwer einzudämmen?

Es gibt viele Gründe, warum es so schwierig ist, die Verbreitung von Botnetzen anzuhalten:

Besitzer von IoT-Geräten

Es gibt keine Kosten oder Betriebsunterbrechungen, daher besteht kein Anreiz dazu, das Smart Gerät zu sichern.

Infizierte Systeme können mit einem Neustart bereinigt werden. Da jedoch konstant nach potenziellen Bots gesucht wird, können sie innerhalb von Minuten nach dem Neustart erneut infiziert werden. Das heißt, dass Benutzer das Standardkennwort sofort nach dem Neustart ändern müssen. Oder sie müssen verhindern, dass das Gerät auf das Internet zugreift, bis sie die Firmware zurücksetzen und das Kennwort offline ändern können. Die meisten Gerätebesitzer haben weder das Know-how noch die Motivation dazu.

ISPs

Der erhöhte Traffic im Netzwerk des infizierten Geräts ist normalerweise nicht einmal so groß wie der Traffic, den Medien-Streaming generiert. Daher besteht kein großer Anreiz, sich darum Gedanken zu machen.

Gerätehersteller

Für Gerätehersteller besteht kaum ein Anreiz, in die Sicherheit kostengünstiger Geräte zu investieren. Sie für Angriffe haftbar zu machen, könnte eine Möglichkeit sein, Änderungen zu erzwingen, obwohl dies in Regionen mit laxer Durchsetzung möglicherweise nicht funktioniert.

Gerätesicherheit zu ignorieren, ist sehr gefährlich: Mirai kann beispielsweise Antivirensoftware deaktivieren, was die Erkennung schwierig macht.

Größe

Mit mehr als eineinhalb Milliarden Geräten, die auf ARC-Prozessoren basieren und jedes Jahr den Markt überschwemmen, bedeutet die schiere Anzahl von Geräten, die in leistungsstarke Botnetze eingezogen werden können, dass diese Malware-Varianten größere Schäden verursachen können.

Einfachheit

Ready-to-Go-Botnet-Kits machen technische Kenntnisse überflüssig. Für 14,99 bis 19,99 $ kann ein Botnetz für einen ganzen Monat geleast werden. Für mehr Informationen schauen Sie den Artikel Was ist ein DDoS-Booter/Stresser? an.

Globale IoT-Sicherheitsstandards

Es gibt keine globale Organisation und keinen Konsens, um IoT-Sicherheitsstandards zu definieren und durchzusetzen.

Während für einige Geräte Sicherheitspatches existieren, sind Benutzer möglicherweise nicht technisch versiert oder motiviert genug, um Updates vorzunehmen. Viele Hersteller von günstigen Geräten bieten überhaupt keine Wartung an. Wenn sie Wartung anbieten, dann meistens nicht langfristig. Es gibt auch keine Möglichkeit, Geräte außer Betrieb zu setzen, wenn die Updates nicht mehr gepflegt werden. So werden sie auf unbestimmte Zeit unsicher.

Globale Strafverfolgung

Die Schwierigkeit, Botnetz-Entwickler aufzuspüren und strafrechtlich zu verfolgen, erschwert die Eindämmung der Botnetz-Verbreitung. Für Cyberkriminalität gibt es kein globales Interpol-Äquivalent (Internationale Organisation der Kriminalpolizei) mit entsprechenden Ermittlungsfähigkeiten. Strafverfolgungsbehörden auf der ganzen Welt sind in der Regel nicht in der Lage, mit Cyberkriminellen Schritt zu halten, wenn es um die neuesten Technologien geht.

Viele Botnetze verwenden jetzt eine DNS-Technik namens Fast Flux, um die Domains zu verbergen, die sie zum Herunterladen von Malware oder zum Hosten von Phishing-Sites verwenden. Dies macht es extrem schwierig, sie aufzuspüren und auszuschalten.

Beeinträchtigt eine Botnetz-Infektion die Performance von IoT-Geräten?

Gut möglich. Hin und wieder funktionieren infizierte Geräte möglicherweise nur schleppend, laufen jedoch meistens wie vorgesehen. Die Eigentümer sind daher nicht besonders motiviert, nach einer Möglichkeit zu suchen, um die Infektion zu beseitigen.

Nachtrag

Eine geplante Gesetzgebung des kalifornischen Gouverneurs, Jerry Brown, verlangt, dass IoT-Geräte über angemessene Sicherheitsmerkmale verfügen, die „der Art und Funktion des Geräts angemessen sind“. Dies würde im Januar 2020 in Kraft treten.

Warum ist diese Gesetzgebung so wichtig? Der lukrative kalifornische Markt macht es Unternehmen unmöglich, das Gesetz zu ignorieren. Wenn sie ihre Geräte in Kalifornien verkaufen möchten, müssen sie die Sicherheit ihrer Geräte verbessern. Am Ende profitieren alle Länder davon.