News

IoT-Wurm Hajime überflügelt seinen Vetter

Sam Edwards und Ioannis Profetis von Rapidity haben mit Hajime eine neue Variante eines Wurms gefunden, der IoT-Geräte angreift. Ursprünglich hatte das Expertenduo vor, den ähnlichen Schädling Mirai zu untersuchen, dessen Quellecode von seinem Entwickler veröffentlicht worden war. In Erwartung einer drastischen Zunahme der Bot-Aktivität nach Veröffentlichung des Codes beabsichtigten die Forscher, weltweit Köder-Server einzuschleusen.

Einige Tage später wurden Edwards und Profetis auf eine Aktivität aufmerksam, die sie zunächstMirai zuschrieben. Bei näherer Betrachtung zeigte sich aber, dass dahinter ein neuer, komplexerer Schädling steckte, der einige Besonderheiten des Verhaltens von Hajime aufwies. Er arbeitet mit einem dreistufigen Infektionsmechanismus und ist in der Lage, sich selbst zu verbreiten.

Nachdem er sich im System festgesetzt hat, beginnt Hajime willkürliche IP-Adressen in der Zone IPv4 zu scannen. Daraufhin greift der Wurm Port 23 an und versucht, ins System am anderen Ende der Verbindung zu gelangen, indem er eine Auswahl von Accounts benutzt, die in seinen Code festgeschrieben sind. Wenn Port 23 geschlossen ist, bricht der Schädling den misslungenen Brute-Force-Versuch ab und geht zur nächsten IP-Adresse über.

Ist die Brute-Force-Attacke erfolgreich, sendet Hajime vier Befehle an das Zielsystem, um zu überprüfen, ob darauf das Betriebssystem Linux läuft. Betroffen von Hajime-Attacken sind die Plattformen ARMv5, ARMv7, Intel x86-64, MIPS und little-endian.

Im nächsten Schritt lädt der Wurm eine 484-Byte große Binärdatei (ELF) und führt sie aus, um eine Verbindung mit dem angegriffenen Server herzustellen und die erhaltenen Daten in eine neue Binärdatei zu schreiben, die gestartet wird, sobald die Übertragung der Daten abgeschlossen ist. Mit Hilfe des DHT-Protokolls wird die Binärdatei an ein P2P-Botnetz angeschlossen, von dem sie über Torrent die Payload in Form anderer Binärdateien und Module erhält.

Hajime ist also ein weitaus kniffligerer Schädling als Mirai, außerdem verwendet er einige Tricks, die charakteristisch für andere IoT-Schädlinge sind. Rex stellt beispielsweise ebenfalls eine DHT-Verbindung mit einem P2P-Botnetz her. Die bereits fertigen Paare aus „Benutzername – Kennwort“ für Brute-Force-Attacken auf willkürliche IP-Adressen ist eins der Charakteristika von Mirai. Der mehrstufige Infektionsmechanismus ähnelt dem von NyaDrop.

Hajime unterscheidet sich aber darin von den oben genannten Schädlingen, dass er in der Programmiersprache C geschrieben ist, und nicht in Go, wie Rex, und dass er eine P2P-Kommunikation nutzt anstelle einer direkten Verbindung zu einem C&C-Server (Mirai) und überdies ein breiteres Spektrum von Plattformen angreift, nicht ausschließlich MIPS (NyaDrop). Man kann also sagen, dass Hajime in sich die effizientesten Methoden vereint, die er von anderen Typen von IoT-Schädlingen übernommen hat.

Hajime greift IP-Kameras, digitale Videorekorder und Videoüberwachungssysteme an, insbesondere Systeme von Dahua, ZTE und anderer Hersteller, denen der Vertragsproduzent XiongMai Technologies Standard-DVR-Systeme liefert. Um einen Hajime-Angriff zu verhindern, müssen alle UDP-Pakete mit Mitteilungen über den Schlüsselaustausch mit Hajime, TCP-Port 4636 und jeder beliebige Telnet-Traffic mit dem Befehl /bin/busybox ECCHI blockiert werden. Die Forscher haben bisher keine gesicherten Informationen darüber, wer hinter der Entwicklung dieses Schädlings steckt. Eine Analyse der Aktivitätszeiten hat ergeben, dass der Zeitgürtel mit Europa übereinstimmt.

Quelle: Threatpost

IoT-Wurm Hajime überflügelt seinen Vetter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach