IoT-Fallen

Eine Analyse der von den IoT-Honeypots von Kaspersky Lab gesammelten Daten

Inhalt

Im Jahr 2016 wurden einige Ereignisse publik, die das Interesse an dem Thema Sicherheit so genannter intelligenter Geräte spürbar verstärkt haben. Zu diesen Ereignissen zählten beispielsweise die bezüglich ihrer Durchschlagskraft rekordverdächtigen DDoS-Attacken auf das französiche Hosting-Unternehmen OVH und den amerikanische DNS-Provider Dyn. Es ist bekannt, dass sie mit Hilfe eines beeindruckenden Botnetzes aus Routern, IP-Kameras, Druckern und anderen Geräten durchgeführt wurden.

Außerdem erfuhr die Welt Ende letzten Jahres von einem gigantischen Botnet (fast fünf Millionen Geräte), das sich aus Routern zusammensetzte. Mit dem Hack von Routern musste sich auch die Deutsche Telekom herumschlagen, deren Nutzergeräte mit dem Schädling Mirai infiziert waren. Die Angelegenheit beschränkt sich aber nicht ausschließlich auf Netzwerkausrüstung: Sicherheitsprobleme wurden auch in „intelligenten“ Geschirrspülern von Miele und in AGA-Kochherden gefunden. Den Vogel abgeschossen hat allerdings BrickerBot, der im Gegensatz zu seinen „Kollegen“ angreifbare Geräte nicht nur infizierte, sondern diese auch noch komplett außer Betrieb setzte.

Nach Angaben von Gartner gibt es aktuell weltweit mehr als 6 Milliarden „intelligente“ Geräte. Eine derart hohe Anzahl potentiell angreifbarer Gadgets blieb auch den Cyberkriminellen nicht verborgen: Laut Daten aus dem Mai 2017 befanden sich in der Kollektion von Kaspersky Lab mehrere tausend verschiedene Samples von Schadsoftware für „intelligente“ Geräte, von denen ungefähr die Hälfte im Jahr 2017 hinzugefügt wurde.

Zunahme der Samples von Schadspftware für „smarte“ Geräte, 2013-2017

Bedrohung für den Endnutzer

Gibt es im Heimnetzwerk schlecht konfigurierte oder verwundbare IoT-Geräte, so kann das betrübliche Folgen nach sich ziehen. In dem am weitesten verbreiteten Szenario werden diese Geräte einem Botnetz angeschlossen. Und das ist wohl noch die harmloseste Variante für den Nutzer – andere Ausnutzungsvarianten sind weitaus gefährlicher. So kann ein Gerät aus einem Heimnetzwerk als Zwischenglied bei der Durchführung ungesetzlicher Aktivität missbraucht werden. Überdies ist ein Verbrecher, der Zugriff auf ein IoT-Gerät erhalten hat, unter Umständen in der Lage, den Besitzer des Gerätes auszuspionieren, um ihn daraufhin zu erpressen – in der Vergangenheit hat es solche Vorfälle durchaus schon gegeben. Und schließlich (und das ist bei weitem nicht das schlimmste Szenario), kann ein infiziertes Gerät problemlos zerstört werden.

Die Hauptprobleme „intelligenter“ Geräte

Firmware

Im besten Fall veröffentlichen die Hersteller mit Verspätung aktualisierte Software für ihre „smarten“ Geräte. Im schlimmsten Fall (und das kommt weitaus häufiger vor) wird die Firmware überhaupt nicht aktualisiert – in vielen Geräten ist die Möglichkeit, ein Update zu installieren, gar nicht vorgesehen.

Die Software dieser Geräte kann Fehler enthalten, die Cyberkriminelle zu ihren Zwecken ausnutzen können. So versuchte der Trojaner PNScan (Trojan.Linux.PNScan) beispielsweise, Router zu hacken, indem er eine der folgenden Schwachstellten ausnutzte:

  • CVE-2014-9727 für Angriffe auf Fritz!Box-Router;
  • eine Sicherheitslücke in dem Protokoll HNAP (Home Network Administration Protocol) und die Sicherheitslücke CVE-2013-2678 für Angriffe auf Linksys-Router;
  • ShellShock (CVE-2014-6271).

Gelang ihm das, so infizierte er die Geräte mit der Backdoor Tsunami.

Der Trojaner Persirai nutzte eine Sicherheitslücke aus, die in mehr als 1.000 verschiedenen IP-Kameramodellen vorkommt. Im Erfolgsfall konnte er willkürlichen Code mit Superuser-Rechten ausführen.

Ein weiteres Loch in der Sicherheit hängt mit der Umsetzung des Protokolls TR-069 zusammen. Es ist für die entfernte Steuerung der Geräte seitens des Betreibers vorgesehen und basiert auf dem Protokoll SOAP, das seinerseits bei der Übermittlung von Befehlen das Format XML verwendet. Und eben im Befehlsparser wurde eine Sicherheitslücke gefunden. Eine solche Infektionsart wird in einigen Versionen des Trojaners Mirai sowie in Hajime benutzt. Und auf diese Weise wurden auch die Geräte der Deutschen Telekom infiziert.

Passwörter, Telnet und SSH

Ein weiteres Problem sind die vom Hersteller vorinstallierten Passwörter. Sie sind unter Umständen nicht nur für ein Modell identisch, sondern, sagen wir einmal, für eine gesamte Produktlinie. Dabei ist es keinesfalls so neu, dass Listen mit Kombinationen von Nutzername und Passwort derart einfach im Internet zugänglich sind, dass auch Cyberkriminelle durchaus davon profitieren könnten. Die Arbeit wird ihnen noch dadurch erleichtert, dass ein erheblicher Teil der „intelligenten“ Geräte nach außen durch die Ports Telnet und/oder SSH „hindurchscheint“.

Als Beispiel für so eine Liste mit Kombinationen von Nutzername und Passwort hier die Aufstellung aus den Versionen des Trojaners Gafgyt (Backdoor.Linux.Gafgyt):

root root
root
telnet telnet
!root
support support
supervisor zyad1234
root antslq
root guest12345
root tini
root letacla
root Support1234

Statistik

Wir haben mehrere Fallen (honeypots) installiert, die verschiedene Geräte unter dem Betriebssystem Linux imitieren, um zu überprüfen, was mit ihnen in „freier Wildbahn“ passieren würde. Die Ergebnisse ließen nicht lange auf sich warten: Die ersten Versuche, sich mit dem offenen Telnet-Port zu verbinden, konnten wir bereits nach einigen Sekunden beobachten. Innerhalb von 24 Stunden registrierten wir mehrere zehntausend Verbindungsversuche von eindeutigen IP-Adressen.

Zahl der Verbindungsversuche mit unseren Honeypots von unikalen IP-Adressen, Januar bis April 2017

In den meisten von uns registrierten Fällen wurde das Telnet-Protokoll verwendet, der übrige Teil entfiel auf SSH.

Verteilung der Verbindungsversuche mit den Fallen nach Ports, Januar bis April 2017

Liste der populärsten Paarungen von Nutzername/Passwort, die von Schädlingen bei Verbindungsversuchen mit dem Telnet-Port verwendet werden:

Nutzername Passwort
root xc3511
root vizxv
admin admin
root admin
root xmhdipc
root 123456
root 888888
root 54321
support support
root default
root root
admin password
root anko
root
root juantech
admin smcadmin
root 1111
root 12345
root pass
admin admin1234

Die Liste der populärsten Kombinationen, die bei Attacken auf SSH verwendet werden, unterscheidet sich etwas davon:

Nutzername Passwort
admin default
admin admin
support support
admin 1111
admin
user user
Administrator admin
admin root
root root
root admin
ubnt ubnt
admin 12345
test test
admin <Any pass>
admin anypass
administrator
admin 1234
root password
root 123456

Unter den Geräten, von denen unseren Beobachtungen zufolge Attacken ausgingen, ließen sich mehr als 63 Prozent als digitale Video-Services oder IP-Kameras identifizieren, weitere 16% als verschiedene Netzwerkgeräte, Router praktisch aller gängigen Hersteller. Insgesamt 1% entfiel auf WiFi-Repeater und andere Netzwerkausrüstung, Smart TV-Boxen, IP-Telefonie, Tor-Ausgangsknoten, Geräte eines „intelligenten“ Hauses. Weitere etwa 20% der Geräte konnten nicht eindeutig identifiziert werden.

Verteilung der Angriffsquellen nach Gerätetyp, Januar bis April 2017

Die Mehrzahl der IP-Adressen, von denen aus es Verbindungen zu unseren Honeypots gab, antworten auf HTTP-Anfragen. Dabei stecken hinter einer IP-Adresse meist mehrere Geräte (Anwendung der Technologie NAT). Nicht zwingend antwortet auf eine HTTP-Anfrage genau das Gerät, das unseren Honeypot angegriffen hat, doch normalerweise verhält es sich genau so.

Als Antwort auf eine solche Anfrage erscheint eine Webseite – das Control Panel des Geräts, irgendein Monitoring oder beispielsweise ein Video von der Kamera. Über diese Seite kann man unter anderem versuchen zu bestimmen, um was für ein Gerät es sich handelt. Unten aufgeführt ist eine Liste der bei den angreifenden Geräten am häufigsten anzutreffenden Titel von Webseiten:

HTTP-Titel Prozentualer Anteil der Geräte
NETSurveillance WEB 17,40%
DVR Components Download 10,53%
WEB SERVICE 7,51%
main page 2,47%
IVSWeb 2.0 – Welcome 2,21%
ZXHN H208N V2.5 2,04%
Web Client 1,46%
RouterOS router configuration page 1,14%
NETSuveillance WEB 0,98%
Technicolor 0,77%
Administration Console 0,77%
MГіdem – Inicio de sesiГіn 0,67%
NEUTRON 0,58%
Open Webif 0,49%
hd client 0,48%
Login Incorrect 0,44%
iGate GW040 GPON ONT 0,44%
CPPLUS DVR – Web View 0,38%
WebCam 0,36%
GPON Home Gateway 0,34%

An unseren Honigtöpfen sehen wir nur einen gewissen Teil der Geräte. Will man einschätzen, wie viele Geräte dieses Typs es weltweit tatsächlich gibt, so helfen dabei spezialisierte Suchdienste, wie etwa Shodan oder ZoomEye. Sie scannen Bereiche von IP-Adressen nach unterstützten Services, fragen sie ab und indizieren die Ergebnisse. Wir haben die bei IP-Kameras, digitalen Videorekordern und Routern populärsten Titel ausgewählt und sie mit ZoomEye gesucht. Die Resultate sind beeindruckend – wir haben Millionen von Geräten gefunden, die potentiell mit Malware infiziert sein könnten (und höchstwahrscheinlich auch infiziert sind).

Zahl der IP-Adressen potentiell verwundbarer Geräte – IP-Kameras und digitale Videorekorder.

HTTP-Titel Geräte
WEB SERVICE 2 785 956
NETSurveillance WEB 1 621 648
dvrdvs 1 569 801
DVR Components Download 1 210 111
NetDvrV3 239 217
IVSWeb 55 382
Insgesamt 7 482 115

Anzahl der IP-Adressen potentiell angreifbarer Geräte: Router.

HTTP Titel Geräte
Eltex NTP 2 653
RouterOS router 2 124 857
GPON Home Gateway 1 574 074
TL-WR841N 149 491
ZXHN H208N 79 045
TD-W8968 29 310
iGate GW040 GPON ONT 29 174
Insgesamt 3 988 604

Bemerkenswert ist auch, dass sich unter den Netzwerkgeräten, von denen aus wir Angriffe auf unsere Fallen beobachtet haben, nicht nur Heimausrüstung befindet, sondern auch Equipment für den gewerblichen Bereich.

Was allerdings noch gefährlicher ist: Unter den IP-Adressen, von denen aus Angriffe durchgeführt werden, gibt es auch solche, auf denen sich Überwachungssysteme und/oder Steuerungssysteme für Geräte befinden, die mit der Industrie und Sicherheit in Verbindung stehen:

  • Kassenterminals von Geschäften, Restaurants und Tankstellen;
  • digitale Fernsehsysteme;
  • Zugriffskontrollsysteme;
  • Ökomonitoring-Geräte;
  • Überwachung der seismischen Station in Bangkok;
  • in der Industrie eingesetzte speicherprogrammierbare Steuerungen;
  • Systeme zur Steuerung der Stromversorgung.

Wir können nicht belegen, dass ausgerechnet die oben aufgezählten Geräte infiziert sind. Allerdings haben wir Attacken auf unsere Fallen von ihren IP-Adressen aus beobachtet, was zumindest bedeutet, dass ein oder mehrere Geräte in ihrem Netz infiziert sind.

Geografische Verteilung der infizierten Geräte

Schaut man sich die geografische Verteilung der Geräte an, von deren IP-Adressen aus wir Angriffe auf unsere Fallen beobachtet haben, so ergibt sich das folgende Bild:

Verteilung der IP-Adressen der angreifenden Geräte nach Ländern, Januar bis April 2017

Wie bereits oben erwähnt, entfällt ein großer Teil der infizierten Geräte auf IP-Kameras und Bordkameras, die in China, Vietnam sowie auch in Russland, Brasilien, der Türkei und anderen Ländern weit verbreitet sind.

Geografische Verteilung der IP-Adressen von Servern, von denen aus Schadsoftware auf Geräte geladen wird

Insgesamt registrierten wir im Jahr 2017 mehr als 2 Millionen Hacking-Versuche und mehr als 11.000 individuelle IP-Adressen, von denen aus Schadsoftware für IoT-Geräte geladen wurde.

Die Verteilung dieser IP-Adressen stellt sich wie folgt dar (ТОР 10):

Land Individuelle IP
Vietnam 2136
Taiwan 1356
Brasilien 1124
Türkei 696
Südkorea 620
Indien 504
Vereinigte Staaten 429
Russische Föderation 373
China 361
Rumänien 283

Geht man bei der Verteilung nicht nach IP-Adressen, sondern nach Zahl der Downloads, so ergibt sich ein anderes Bild:

Land Downloads
Thailand 580267
Hong Kong 367524
Südkorea 339648
Niederlande 271654
Vereinigte Staaten 168224
Seychellen 148322
Frankreich 68648
Honduras 36988
Italien 20272
Vereinigtes Königreich 16279

Wir nehmen an, dass dieser Unterschied damit zusammenhängt, dass es in diesen Ländern Bulletproof-Server gibt, die eine weitaus schnellere und zuverlässigere Verbreitung von Malware gewährleisten als infizierte Geräte.

Verteilung der Aktivität der Angreifenden nach Wochentagen

Im Zuge unserer Analyse der Aktivität von IoT-Botnetzen erkannten wir bestimmte Parameter ihrer Funktionsweise. Wir stellten fest, dass die Höhepunkte der Aktivitäten (Scannen, Ausprobieren der Passwörter, Verbindungsversuche) häufig auf bestimmte Wochentage entfielen.

Verteilung der Aktivität der Angreifenden nach Wochentagen, April 2017

Allem Anschein nach ist der Montag auch für Cyberkriminelle ein harter Tag. Eine andere Erklärung konnten wir für diese Dynamik auch nicht finden.

Fazit

Die Zunahme der Zahl von Schadprogrammen für das Internet of Things und der damit verbundenen Vorfälle zeigt, wie ernstzunehmend das Sicherheitsproblem „intelligenter“ Geräte ist. Das Jahr 2016 hat gezeigt, dass es nicht nur eine mögliche, sondern eine absolut reale Bedrohung ist. Die starke Konkurrenz auf dem Markt für DDoS-Attacken motiviert Cybergangster dazu, nach immer neuen Ressourcen zu suchen, die ihnen dabei helfen, immer gewaltigere Attacken zu organisieren. Das Botnet Mirai hat demonstriert, dass auch „smarte“ Geräte solche Ressourcen sein können. Ihre Zahl geht heute schon in die Milliarden, und bis zum Jahr 2020 sagen Analysten verschiedener Unternehmen eine Zunahme im Bereich von 20 bis 50 Milliarden Geräte voraus.

Abschließend möchten wir gern einige Empfehlungen abgeben, die Ihre Geräte unter Umständen vor einer Infektion schützen können:

  • Wenn es für den Gebrauch des Gerätes nicht notwendig ist, verhindern Sie, dass aus einem externen Netz darauf zugegriffen werden kann.
  • Deaktivieren Sie alle Netzwerkdienste, die Sie für die Nutzung des Gerätes nicht benötigen.
  • Wenn auf dem Gerät ein universales oder ein Standardpasswort installiert ist, das man nicht ändern kann, oder ein Account voreingestellt ist, der sich nicht deaktivieren lässt, so schalten Sie die Netzwerkdienste ab, in denen diese benutzt werden oder blockieren Sie den Netzwerkzugriff von außen darauf.
  • Bevor Sie ein Gerät in Gebrauch nehmen, ändern Sie das Standardpasswort und stellen Sie ein neues, starkes Passwort ein, das nicht problemlos geknackt werden kann.
  • Aktualisieren Sie die Firmware des Gerätes regelmäßig auf die neuste Version (wenn es solche Updates gibt).

Die Einhaltung dieser einfachen Regeln kann dazu beitragen, dass ein großer Teil der Angriffe von derzeit weit verbreiteten IoT-Schädlingen vermieden wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.