IoT-Wurm Hajime überflügelt seinen Vetter

Sam Edwards und Ioannis Profetis von Rapidity haben mit Hajime eine neue Variante eines Wurms gefunden, der IoT-Geräte angreift. Ursprünglich hatte das Expertenduo vor, den ähnlichen Schädling Mirai zu untersuchen, dessen Quellecode von seinem Entwickler veröffentlicht worden war. In Erwartung einer drastischen Zunahme der Bot-Aktivität nach Veröffentlichung des Codes beabsichtigten die Forscher, weltweit Köder-Server einzuschleusen.

Einige Tage später wurden Edwards und Profetis auf eine Aktivität aufmerksam, die sie zunächstMirai zuschrieben. Bei näherer Betrachtung zeigte sich aber, dass dahinter ein neuer, komplexerer Schädling steckte, der einige Besonderheiten des Verhaltens von Hajime aufwies. Er arbeitet mit einem dreistufigen Infektionsmechanismus und ist in der Lage, sich selbst zu verbreiten.

Nachdem er sich im System festgesetzt hat, beginnt Hajime willkürliche IP-Adressen in der Zone IPv4 zu scannen. Daraufhin greift der Wurm Port 23 an und versucht, ins System am anderen Ende der Verbindung zu gelangen, indem er eine Auswahl von Accounts benutzt, die in seinen Code festgeschrieben sind. Wenn Port 23 geschlossen ist, bricht der Schädling den misslungenen Brute-Force-Versuch ab und geht zur nächsten IP-Adresse über.

Ist die Brute-Force-Attacke erfolgreich, sendet Hajime vier Befehle an das Zielsystem, um zu überprüfen, ob darauf das Betriebssystem Linux läuft. Betroffen von Hajime-Attacken sind die Plattformen ARMv5, ARMv7, Intel x86-64, MIPS und little-endian.

Im nächsten Schritt lädt der Wurm eine 484-Byte große Binärdatei (ELF) und führt sie aus, um eine Verbindung mit dem angegriffenen Server herzustellen und die erhaltenen Daten in eine neue Binärdatei zu schreiben, die gestartet wird, sobald die Übertragung der Daten abgeschlossen ist. Mit Hilfe des DHT-Protokolls wird die Binärdatei an ein P2P-Botnetz angeschlossen, von dem sie über Torrent die Payload in Form anderer Binärdateien und Module erhält.

Hajime ist also ein weitaus kniffligerer Schädling als Mirai, außerdem verwendet er einige Tricks, die charakteristisch für andere IoT-Schädlinge sind. Rex stellt beispielsweise ebenfalls eine DHT-Verbindung mit einem P2P-Botnetz her. Die bereits fertigen Paare aus „Benutzername – Kennwort“ für Brute-Force-Attacken auf willkürliche IP-Adressen ist eins der Charakteristika von Mirai. Der mehrstufige Infektionsmechanismus ähnelt dem von NyaDrop.

Hajime unterscheidet sich aber darin von den oben genannten Schädlingen, dass er in der Programmiersprache C geschrieben ist, und nicht in Go, wie Rex, und dass er eine P2P-Kommunikation nutzt anstelle einer direkten Verbindung zu einem C&C-Server (Mirai) und überdies ein breiteres Spektrum von Plattformen angreift, nicht ausschließlich MIPS (NyaDrop). Man kann also sagen, dass Hajime in sich die effizientesten Methoden vereint, die er von anderen Typen von IoT-Schädlingen übernommen hat.

Hajime greift IP-Kameras, digitale Videorekorder und Videoüberwachungssysteme an, insbesondere Systeme von Dahua, ZTE und anderer Hersteller, denen der Vertragsproduzent XiongMai Technologies Standard-DVR-Systeme liefert. Um einen Hajime-Angriff zu verhindern, müssen alle UDP-Pakete mit Mitteilungen über den Schlüsselaustausch mit Hajime, TCP-Port 4636 und jeder beliebige Telnet-Traffic mit dem Befehl /bin/busybox ECCHI blockiert werden. Die Forscher haben bisher keine gesicherten Informationen darüber, wer hinter der Entwicklung dieses Schädlings steckt. Eine Analyse der Aktivitätszeiten hat ergeben, dass der Zeitgürtel mit Europa übereinstimmt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.