Was ist das Mirai Botnetz?

Die Mirai-Malware nutzt Sicherheitslücken in IoT-Geräten aus und kann sich der kollektiven Leistung von Millionen von IoT-Geräten in Botnetzen bedienen, um Angriffe zu starten.

Share facebook icon linkedin icon twitter icon email icon

Mirai-Botnetz

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Mehr über das Mirai-Botnetz erfahren
  • Wie mutieren Botnetze?
  • Warum Botnetze gefährlich sind
  • Was haben IoT-Geräte mit Botnetze zu tun?

Was ist Mirai?

Mirai ist Malware , die intelligente auf ARC-Prozessoren ausgeführte Geräte infiziert und sie in ein Netzwerk von ferngesteuerten Bots oder „Zombies“ verwandelt. Dieses Netzwerk von Bots, Botnetz, wird häufig verwendet, um DDoS-Angriffe zu starten.

Malware, kurz für böswillige Software, ist ein Überbegriff, der Computerwürmer, Viren, Trojaner, Rootkits und Spyware umfasst.

Im September 2016 starteten die Autoren der Mirai-Malware einen DDoS-Angriff auf die Website eines bekannten Sicherheitsexperten. Eine Woche später veröffentlichten sie den Quellcode, möglicherweise um die Ursprünge dieses Angriffs zu verbergen. Dieser Code wurde von anderen Cyberkriminellen schnell repliziert und steht vermutlich hinter dem massiven Angriff, der den Domainregistrierungsdienstleister Dyn im Oktober 2016 zum Erliegen brachte.

Wie funktioniert Mirai?

Mirai durchsucht das Internet nach IoT-Geräten, die auf dem ARC-Prozessor ausgeführt werden. Auf diesem Prozessor wird eine reduzierte Version des Linux-Betriebssystems ausgeführt. Wenn die Standardkombination aus Benutzername und Kennwort nicht geändert wird, kann sich Mirai beim Gerät anmelden und es infizieren.

IoT, kurz für Internet of Things, ist nur ein ausgefallener Begriff für intelligente Geräte, die eine Verbindung zum Internet herstellen können. Diese Geräte können Babyphone, Fahrzeuge, Netzwerkrouter, landwirtschaftliche Geräte, medizinische Geräte, Umweltüberwachungsgeräte, Haushaltsgeräte, DVRs, CC-Kameras, Headsets oder Rauchmelder sein.

Das Mirai-Botnetz verwendete hunderttausend entführte IoT-Geräte, um Dyn zum Abstürzen zu bringen.

Wer hat das Mirai-Botnetzes kreiert?

Der 21-jährige Paras Jha und der 20-jährige Josiah White waren Mitbegründer von Protraf Solutions, einem Unternehmen, das Abwehrdienste für DDoS-Angriffe anbot. Bei ihnen handelte es sich um einen klassischen Fall von Racketeering: Ihr Unternehmen bot genau den Organisationen, die von ihrer Malware angegriffen wurden, DDoS-Abwehrdienste an.

Warum bleibt die Mirai-Malware gefährlich?

Der Mirai mutiert.

Obwohl die ursprünglichen Autoren gestellt wurden, lebt ihr Quellcode weiter. Er hat Varianten wie Okiru, Satori, Masuta und PureMasuta hervorgebracht. PureMasuta kann beispielsweise den HNAP-Fehler in D-Link-Geräten als Waffe einsetzen. Der OMG-Stamm hingegen wandelt IoT-Geräte in Proxys um, mit denen Cyberkriminelle anonym bleiben können.

Es gibt auch das kürzlich entdeckte und leistungsstarke Botnetz mit dem Spitznamen IoTrooper und Reaper, das IoT-Geräte viel schneller kompromittieren kann als Mirai. Der Reaper kann eine größere Anzahl von Geräteherstellern anvisieren und hat eine weitaus größere Kontrolle über seine Bots.

Was sind die verschiedenen Botnetz-Modelle?

Zentralisierte Botnetze

Wenn Sie sich ein Botnetz als Theaterstück vorstellen, ist der C&C-Server (Command and Control Server, auch als C2 bekannt) der Direktor. Die Schauspieler in diesem Stück sind die verschiedenen Bots, die durch Malware-Infektionen kompromittiert wurden und zum Teil des Botnetzes wurden.

Wenn die Malware ein Gerät infiziert, sendet der Bot zeitgesteuerte Signale, um das C&C darüber zu informieren, dass er jetzt existiert. Diese Verbindungssitzung bleibt offen, bis der C&C bereit ist, dem Bot Befehle zu erteilen. Dies kann das Versenden von Spam, das Knacken von Passwörtern, DDoS-Angriffe usw. umfassen.

In einem zentralisierten Botnetz kann das C&C die Befehle des Botmasters direkt an die Bots übertragen. Das C&C ist jedoch auch ein Single Point of Failure: Wenn es heruntergefahren wird, wird das Botnetz unwirksam.

Tiered C&Cs

Botnetz-Steuerung kann in mehreren Ebenen mit mehreren C&Cs organisiert sein. Gruppen von dedizierten Servern können für einen bestimmten Zweck ausgewählt werden, z. B. um die Bots in Untergruppen zu organisieren, um bestimmte Inhalte bereitzustellen und so weiter. Dies macht es schwieriger, das Botnetz abzubauen.

Dezentrale Botnetze

P2P-Botnets (Peer-to-Peer) sind die nächste Generation von Botnetzen. Anstatt mit einem zentralen Server zu kommunizieren, fungieren P2P-Bots sowohl als Befehlsserver als auch als Client, der Befehle empfängt. Dies vermeidet das Single-Point-of-Failure-Problem, das zentralisierten Botnetzen inhärent ist. Da P2P-Botnetze ohne C&C arbeiten, ist es schwieriger, sie lahmzulegen. Trojan.Peacomm und Stormnet sind Beispiele für Malware hinter P2P-Botnetzen.

Wie verwandelt Malware IoT-Geräte in Bots oder Zombies?

Im Allgemeinen ist E-Mail-Phishing eine nachweislich effektive Methode zur Infektion des Computers. Das Opfer wird dazu verleitet, entweder auf einen Link zu klicken, der ihn auf eine böswillige Website führt, oder einen infizierten Anhang herunterzuladen. Oft ist der Schadcode so geschrieben, dass gängige Antivirensoftware ihn nicht erkennen kann.

Im Fall von Mirai muss der Benutzer nicht viel weiter tun, als den Standardbenutzernamen und das Standardkennwort auf einem neu installierten Gerät unverändert zu lassen.

Welche Verbindung besteht zwischen Mirai und Klickbetrug?

Pay-per-Click (PPC), auch als Cost-per-Click (CPC) bekannt, ist eine Form der Online-Werbung, bei der ein Unternehmen eine Website bezahlt, um seine Werbung zu hosten. Die Zahlung hängt davon ab, wie viele Besucher dieser Website auf diese Anzeige geklickt haben.

Wenn CPC-Daten betrügerisch manipuliert werden, spricht man von Klick-Betrug. Dies kann durch manuelles Klicken auf die Anzeige, mithilfe automatisierter Software oder mit Bots erfolgen. Durch diesen Prozess können betrügerische Gewinne für die Website auf Kosten des Unternehmens erzielt werden, das diese Anzeigen platziert.

Die ursprünglichen Autoren von Mirai wurden verurteilt, weil sie ihr Botnetz für DDoS-Angriffe und Klickbetrug vermietet hatten.

Warum sind Botnetze gefährlich?

Botnetze können praktisch jeden Aspekt des Lebens einer Person beeinflussen, unabhängig davon, ob sie IoT-Geräte oder sogar einfach das Internet verwendet. Botnetze können:

  • ISPs angreifen, was manchmal zu Denial-of-Service von legitimen Traffic führt
  • Spam-E-Mail senden
  • DDoS-Angriffe starten und Websites und APIs zum Erliegen bringen
  • Klickbetrug durchführen
  • Schwache CAPTCHA-Herausforderungen auf Websites lösen, um menschliches Verhalten während der Anmeldung nachzuahmen
  • Kreditkarteninformationen stehlen
  • Von Unternehmen mit Bedrohungen durch DDoS-Angriffe Lösegeld verlangen

Warum ist die Verbreitung von Botnetzen so schwer einzudämmen?

Es gibt viele Gründe, warum es so schwierig ist, die Verbreitung von Botnetzen zu stoppen:

Besitzer von IoT-Geräten

Es gibt keine Kosten oder Betriebsunterbrechungen, daher besteht kein Anreiz dazu, das Smart-Gerät zu sichern.

Infizierte Systeme können mit einem Neustart bereinigt werden. Da jedoch einer konstant nach potenziellen Bots gesucht wird, können sie innerhalb von Minuten nach dem Neustart erneut infiziert werden. Das heißt, dass Benutzer das Standardkennwort sofort nach dem Neustart ändern müssen. Oder sie müssen verhindern, dass das Gerät auf das Internet zugreift, bis sie die Firmware zurücksetzen und das Kennwort offline ändern können. Die meisten Gerätebesitzer haben weder das Know-how noch die Motivation dazu.

ISPs

Der erhöhte Datenverkehr im Netzwerk des infizierten Geräts ist normalerweise nicht mit dem Datenverkehr vergleichbar, den das Medien-Streaming generiert. Daher besteht kein großer Anreiz, sich darum Gedanken zu machen.

Gerätehersteller

Für Gerätehersteller besteht kaum ein Anreiz, in die Sicherheit kostengünstiger Geräte zu investieren. Sie für Angriffe haftbar zu machen, könnte eine Möglichkeit sein, Änderungen zu erzwingen, obwohl dies in Regionen mit laxer Durchsetzung möglicherweise nicht funktioniert.

Gerätesicherheit zu ignorieren, ist sehr gefährlich: Mirai kann beispielsweise Antivirensoftware deaktivieren, was die Erkennung zu einer Herausforderung macht.

Größe

Mit mehr als eineinhalb Milliarden ARC-Prozessor-basierten Geräten, die jedes Jahr den Markt überschwemmen, bedeutet die schiere Anzahl von Geräten, die in leistungsstarke Botnetze eingezogen werden können, dass diese Malware-Varianten möglicherweise an Bedeutung gewonnen haben.

Einfachheit

Ready-to-Go-Botnet-Kits machen technische Kenntnisse überflüssig. Für 14,99 bis 19,99 $ kann ein Botnetz für einen ganzen Monat geleast werden. Für mehr Informationen schauen Sie den Artikel Was ist ein DDoS-Booter/Stresser? an.

Globale IoT-Sicherheitsstandards

Es gibt keine globale Organisation und keinen Konsens, um IoT-Sicherheitsstandards zu definieren und durchzusetzen.

Während für einige Geräte Sicherheitspatches verfügbar sind, verfügen Benutzer möglicherweise nicht über die erforderlichen Fähigkeiten oder die erforderliche Motivation, Updates vorzunehmen. Viele Hersteller von Low-End-Geräten bieten überhaupt keine Wartung an. Wenn sie Wartung anbieten, dann meistens nicht langfristig. Es gibt auch keine Möglichkeit, Geräte außer Betrieb zu setzen, wenn die Updates nicht mehr gepflegt werden, wodurch sie auf unbestimmte Zeit unsicher werden.

Globale Strafverfolgung

Die Schwierigkeit, Botnetz-Entwickler aufzuspüren und strafrechtlich zu verfolgen, erschwert die Eindämmung der Botnetz-Verbreitung. Für Cyberkriminalität gibt es kein globales Interpol-Äquivalent (Internationale Organisation der Kriminalpolizei) mit entsprechenden Ermittlungsfähigkeiten. Strafverfolgungsbehörden auf der ganzen Welt sind in der Regel nicht in der Lage, mit Cyberkriminellen Schritt zu halten, wenn es um die neuesten Technologien geht.

Viele Botnetze verwenden jetzt eine DNS-Technik namens Fast Flux, um die Domains zu verbergen, die sie zum Herunterladen von Malware oder zum Hosten von Phishing-Sites verwenden. Dies macht es extrem schwierig, sie aufzuspüren und auszuschalten.

Beeinträchtigt eine Botnetz-Infektion die Leistung von IoT-Geräten?

Gut möglich. Hin und wieder funktionieren infizierte Geräte möglicherweise nur schleppend, laufen jedoch meistens wie vorgesehen. Die Eigentümer sind daher nicht besonders motiviert, nach einer Möglichkeit zu suchen, um die Infektion zu beseitigen.

Nachtrag

Eine geplante Gesetzgebung des Gouverneurs von Kalifornien, Jerry Brown, verlangt, dass IoT-Geräte über angemessene Sicherheitsmerkmale verfügen, die „der Art und Funktion des Geräts angemessen sind“. Dies würde im Januar 2020 in Kraft treten.

Warum ist diese Gesetzgebung so wichtig? Der lukrative kalifornische Markt macht es Unternehmen unmöglich, das Gesetz zu ignorieren. Wenn sie ihre Geräte in Kalifornien verkaufen möchten, müssen sie die Sicherheit ihrer Geräte verbessern. Am Ende profitieren alle Länder davon.