Ausnutzung zum Aufbau eines Botnets
IoT Malware Satori nutzt 0-Day Schwachstelle in Routern aus
Zero-Day Schwachstelle für Botnet-Aufbau
Unit 42, das Forschungsteam von Palo Alto Networks, veröffentlicht aktuelle Erkenntnisse zur IoT-Malware Satori. Satori ist ein Derivat von Mirai und nutzt zwei Sicherheitslücken aus.
Aus den Analysedaten ging hervor, dass es insgesamt drei Satori-Varianten gibt. Unit 42 fand auch Hinweise, dass die Version, die die Router-Schwachstelle ausnützt, schon Ende November 2017 aktiv war, bevor Huawei die Sicherheitslücke behoben hatte. Dies bedeutet, dass diese Version von Satori ein klassischer Zero-Day-Angriff war: ein Angriff auf eine zuvor unbekannte Schwachstelle, für die dann kein Patch verfügbar war.
Die von den Forschern rekonstruierte Entwicklungshistorie von Satori untermauert die Theorie, dass sich mehr IoT-Malware entwickeln wird, um entweder bekannte Schwachstellen oder sogar Zero-Day-Schwachstellen auszunutzen. Frühe IoT-Malware-Familien wie Gafgyt und die ursprüngliche Mirai-Familie griffen hingegen auf den Einsatz von Standardpasswörtern oder schwachen Passwörtern zurück, um Geräte anzugreifen.
Als Reaktion darauf begannen die Hersteller, die Standardpasswörter zu ändern, und die Benutzer setzten stärkere Passwörter ein, um diese Angriffe zu verhindern. Einige IoT-Malware-Autoren haben wiederum darauf reagiert. So haben etwa die Akteure, die hinter Malware-Familien wie Amnesia und IoT_Reaper stecken, die Taktiken geändert, um bekannte Sicherheitslücken für bestimmte IoT-Geräte auszunutzen. Natürlich reagierten die IoT-Anbieter wiederum mit dem Patchen dieser Sicherheitslücken.
Der Schritt zu einem klassischen Zero-Day-Angriff gegen unbekannte, nicht gepatchte Schwachstellen ist ein logischer nächster Schritt seitens der Angreifer. Satori hat sich zu solch einer IoT-Malware-Familie entwickelt, die auf Zero-Day-Schwachstellen abzielt. Als ein Derivat von Mirai verwendet Satori einen Teil von Mirais Quellcode für Telnet-Scanning und Passwort-Brute-Force-Funktionen. Satori identifiziert auch den Typ des IoT-Geräts und zeigt unterschiedliche Verhaltensweisen in verschiedenen Gerätetypen auf.
Die Forscher von Unit 42 gehen davon aus, dass der Autor von Satori mit dem Re-Engineering der Firmware vieler IoT-Geräte begonnen hat, um die Typinformationen des jeweiligen Geräts zu sammeln und neue Schwachstellen zu entdecken. Wenn dies der Fall ist, könnte es künftig weitere Versionen von Satori geben, die andere unbekannte Sicherheitslücken in anderen Geräten angreifen.
Die Satori-Malware-Familie zeigt, dass sich die IoT-Malware ständig weiterentwickelt – vom einfachen Brute-Force-Angriff mit Passwort bis hin zum Schwachstellen-Exploit. Mirais Open-Source-Code gibt IoT-Malware-Autoren eine gute Ausgangsbasis, um neue Varianten zu entwickeln. Es wäre ein kritisch zu wertender Trend, wenn IoT-Malware-Autoren nun vermehrt auf bekannte Schwachstellen oder Zero-Day-Schwachstellen setzen, um IoT-Geräte anzugreifen.
