News

Level 3: Mirai-Population nach Durchsickern des Codes verdoppelt

Nach der Veröffentlichung des Quellcodes schließen Mirai-Bots in Rekordgeschwindigkeit immer mehr verwundbare IoT-Geräte an ihr Zombie-Netzwerk an.

Den Forschern von Level 3 Communications ist es gelungen, die Befehlsinfrastruktur von Mirai zu identifizieren, die verwendet wird, um angreifbare IoT-Geräte zu hacken und mit den neu erschienenen Bots zu verbinden. Nach Einschätzung des Kommunikationsdienstleisters hat sich die Zahl der von Mirai kompromittierten Videoüberwachungskameras, der digitalen Videorekorder und der Heimnetzwerkgeräte innerhalb von zwei Wochen mehr als verdoppelt – von 213.000 auf 493.000. „Tatsächlich kann die Zahl dieser Bots aber noch viel höher sein, da die aufgedeckte Infrastruktur kein vollständiges Bild zeichnet“, warnen die Experten.

Die meisten der kompromittierten Gadgets befinden sich in den USA, allerdings belegen auch Brasilien und Kolumbien hohe Positionen im Infektionsranking. Noch beunruhigender ist allerdings die Zahl der Gauner, die sich die Möglichkeiten zunutze machen wollen, die die Armee der an ans Internet angeschlossenen Geräte ihnen bietet. So werden laut Angaben von Level 3 bereits 24% der Hosts des Botnetzes Mirai auch in Attacken von Gafgyt, alias BASHLITE, verwendet. „Eine so starke Überschneidung zeugt davon, dass zahlreiche Malware-Familien ein und denselben Pool von IoT-Geräten angreifen“, resümieren die Forscher.

Verantwortlich für die enorme Zunahme der Mirai-Infektionen ist nach Ansicht der Experten die Veröffentlichung des Quellcodes, obgleich es so auch den Experten möglich war, das Verhalten des schädlichen Bots zu studieren. Die Analyseergebnisse bestätigen, dass die wichtigste Bestimmung von Mirai das fortwährende Scannen des Internets auf der Suche nach angeschlossenen Geräten und die Durchführung von Brute-Force-Attacken ist, um sich auf die Geräte Zugriff zu verschaffen, die mit schwachen oder voreingestellten Passwörtern geschützt sind. Daraufhin wir das verwundbare Gerät an ein riesiges Botnet angeschlossen, das zur Durchführung von DDoS-Attacken benutzt wird.

„Obgleich das [das Durchsickern des Quellcodes] die Arbeit der IT-Sicherheitsexperten tatsächlich erleichtert hat, da nun erforscht werden kann, wie das Botnet funktioniert, spielt es auch kriminellen Elementen in die Hände“, bestätigte der leitende IT-Sicherheitsforscher von Level 3, Dale Drew. „Ihnen steht nun der Basiscode eines polyfunktionalen Bots zur Verfügung, der problemlos modifiziert und schnell in Umlauf gebracht werden kann, wovon wir uns bereits überzeugt haben.“

Die Forscher haben eine Reihe von schädlichen Ressourcen in der Top Level Domain .cx (Weihnachtsinsel) identifiziert, die mit Mirai in Verbindung gebracht wird. Ihre Domainnamen haben das Präfix network oder report, in Abhängigkeit von der Rolle, die sie in dem jeweiligen Knoten innerhalb des Botnets spielen. Die Liste der schädlichen Domains, die im Rahmen der Untersuchung gefunden wurden, ist in einem Blogpost von Level 3 öffentlich verfügbar.

„Wir sind dabei, die Opfer dieses Botnetzes zu informieren und ihnen Hilfe zu leisten“, erklärte Drew auf die Frage von Threatpost nach dem aktuellen Status der schädlichen Ressourcen. „Wir versenden zudem eine Anfrage auf Abschaltung der Server, die Teil der C&C-Infrastruktur sind, und wir werden sie nach IP filtern, wenn sie keine Maßnahmen ergreifen.“

Vertreter von Level 3 registrierten zudem eine hohe Rotation der aktiven Steuerungszentren des Botnetzes, die sich circa alle zwei Tage verändern. „Sie springen ständig zwischen den C&C her, um zu verhindern, dass diejenigen, die ihre Aktivität verfolgen, die Kommunikation der Bots und Steuerungsserver schnell miteinander in Verbindung bringen können“, erklärt der Gesprächspartner von Threatpost.

Um den 18. September herum konnte Level 3 zudem recht heftige DDoS-Attacken auf die C&C-Infrastruktur von Mirai beobachten, die von den Gafgyt/BASHLITE-Betreibern initiiert wurde. „Wir wissen nicht, ob es sich dabei um den Versuch gehandelt hat, einen Konkurrenten auszuschalten, indem die Mirai-Operation sabotiert wurde, oder um den Versuch, die von Mirai kompromittierten Knoten zu kapern“, kommentierte Drew diese Aktion.

Quelle: Threatpost

Level 3: Mirai-Population nach Durchsickern des Codes verdoppelt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach