Verstecken oder das erste Botnetz, das keinen Neustart befürchtet

Ende April entdeckten Informationssicherheitsforscher von Bitdefender LABS eine neue Version des Hide and Seek-Botnetzes (HNS), die Anfang 2018 bekannt wurde. Es verwendet ein benutzerdefiniertes P2P-Protokoll und ist das erste Botnetz, das auch nach einem Neustart des Geräts, auf dem es installiert ist, "überlebt".

Wir zeigen Ihnen, wie HNS dies tut und wie Sie IoT-Geräte davor schützen können.


/ Flickr / chris yiu / cc

Das Botnetz spielt seit dem 10. Januar Verstecken mit Sicherheitsexperten: Zu diesem Zeitpunkt bestand das Hide and Seek-Netzwerk nur aus 12 Geräten. Die meisten von ihnen waren IP-Kameras, die von der koreanischen Firma Focus H & S hergestellt wurden, und ihre IP-Adressen wurden ausdrücklich in den Code geschrieben.

Nachdem sich das Botnetz „versteckt“ hatte und sich erst am 20. Januar befand, enthielt es bereits 14.000 infizierte Geräte. Danach setzte das Botnetz seine aktive Verbreitung fort und konnte etwa 90.000 einzigartige Geräte infizieren. Und so erschien im April seine neue Version.

Wie funktioniert ein Botnetz?

Die neue Version des Botnetzes enthält eine Reihe von Verbesserungen bei den Verteilungsmechanismen. Zum Beispiel lernte er, zwei weitere Schwachstellen von IP-Kameras auszunutzen (weitere Details hier und hier ), die es ermöglichten, die Zugriffsrechte im System zu erhöhen und die Kontrolle über das Gerät zu erlangen. Darüber hinaus kann HNS zwei neue Gerätetypen erkennen und über Brute-Force-Anmeldungen und Kennwörter (unter Verwendung der standardmäßig festgelegten Liste von Kennwörtern) darauf zugreifen.

Der HNS-Ausbreitungsmechanismus ähnelt der Art und Weise, wie sich Netzwerkwürmer "vermehren". Zunächst generiert der Bot eine Liste mit zufälligen IP-Adressen, um die Opfer auszuwählen. Anschließend sendet es eine SYN-Anforderung an jeden Host und setzt die „Kommunikation“ mit denjenigen fort, die die Anforderung an den Ports 23, 2323, 80 und 8080 beantwortet haben. Sobald die Verbindung hergestellt ist, sucht die Malware nach der Meldung „Buildroot-Anmeldung“ und versucht, sich mit vordefinierten Anmeldeinformationen anzumelden. Im Fehlerfall wendet HNS einen Wörterbuchabgleich auf die fest codierte Liste an.

Nach dem Herstellen der Verbindung ermittelt das Botnetz das Zielgerät und wählt die geeignete Kompromissmethode aus. Befindet sich der Bot beispielsweise im selben LAN-Netzwerk wie das Opfer, konfiguriert er den TFTP-Server, sodass das Ziel das Malware-Beispiel direkt herunterladen kann. Befindet sich das Opfer im Internet, versucht das Botnetz verschiedene Methoden für die Fernzustellung des "Schadpakets". Alle Exploits sind vorkonfiguriert und an einem digital signierten Speicherort gespeichert, um unbefugten Zugriff zu verhindern. Die Liste der Methoden kann remote aktualisiert und auf infizierte Hosts verteilt werden.

Forscher für Informationssicherheit stellten fest, dass das Botnetz zehn Binärdateien enthält, die für verschiedene Plattformen kompiliert wurden: x86, x64, ARM (Little Endian und Big Endian), SuperH, PPC und andere.

Und um nach einer erfolgreichen Infektion des Zielgeräts zuverlässig im System Fuß zu fassen, kopiert sich der Bot nach /etc/init.d/ und aktiviert die Autoload-Funktion zusammen mit dem Start des Betriebssystems (die Interaktion mit dem Opfer erfolgt über Telnet, da root Binärdateien in das Verzeichnis init.d kopieren muss -Recht). Dann öffnet HNS einen zufälligen UDP-Port, den Cyberkriminelle benötigen, um das Gerät zu kontaktieren.


/ Flickr / pascal / PD

Andere große Botnetze

Einer der bekanntesten IoT-Bots kann Mirai genannt werden . Wie HNS suchte dieses Botnetz nach IoT-Geräten mit offenen Telnet-Ports. Mirai-Autoren, Fans von Minecraft und Anime (Mirai bedeutet auf Japanisch „Zukunft“, zu Ehren des Mangas „Tagebuch der Zukunft“) führten 2016 mehrere leistungsstarke DDoS-Angriffe auf Websites, Anbieterserver (im September und Oktober ) durch und infizierten sich über 300.000 IoT-Geräte (hier finden Sie eine detaillierte Analyse des Quellcodes von Mirai).

Ein weiterer bekannter Fall ist Hajime (übersetzt aus dem Japanischen bedeutet „Anfang“). Dieses Botnetz hat 300.000 IoT-Geräte mit Brute-Force-Angriffen erfasst. Hajime-Angriffe zielen hauptsächlich auf digitale Videorecorder, Webcams und Router ab. Laut einer Studie von Kaspersky Lab infizierte das Botnetz hauptsächlich Geräte aus Vietnam (20%), Taiwan (13%) und Brasilien (9%). Gleichzeitig mied Hajime „bewusst“ private Netzwerke (einschließlich der des US-Verteidigungsministeriums, von Hewlett-Packard, General Electric und anderen).

Wie Sie sich schützen können

Laut Vertretern von Bitdefender befindet sich das HNS-Botnetz noch in einem "Wachstumsstadium". Die Betreiber versuchen, so viele Geräte wie möglich zu erfassen. Daher wurden Angriffe mit seiner Beteiligung noch nicht durchgeführt. Es besteht jedoch die Möglichkeit, dass Hacker bald "Kampfteams" zu Binärdateien hinzufügen.

Um IoT-Geräte im Allgemeinen vor HNS-Angriffen und Botnetzen zu schützen, empfehlen die Sicherheitsexperten von Trend Micro die folgenden einfachen und recht üblichen Schritte:

• Ändern Sie das Standardkennwort des IoT-Geräts in ein komplexeres (alles ist wie gewohnt: mindestens 15 Zeichen, unterschiedliche Groß- und Kleinschreibung sowie Zahlen und Zeichen);
• Installieren Sie regelmäßig Updates, insbesondere im Zusammenhang mit der Sicherheit.
• Verwenden Sie Softwarelösungen , um das Netzwerk, die Verkehrsverschlüsselung usw. zu schützen.

Mit diesen einfachen Methoden können Sie sich vor vielen schädlichen Programmen schützen, die das Internet der Dinge in ihre Reihen „rekrutieren“.

---

Eine Auswahl von Materialien aus unserem Unternehmensblog:

• 5 Phasen von Cyber-Angriffen
• So klassifizieren Sie verschlüsselten Datenverkehr
• So geben Sie Kennwörter sicher in Ihrem Netzwerk frei
• Firewall oder DPI - Sicherheitstools für verschiedene Zwecke
• In den Fuß geschossen: kritische Fehler beim Aufbau von Netzen von Telekommunikationsbetreibern