Schnell wachsendes IoT-Botnet

Neu entdecktes Botnet infizierte bereits 20.000 IoT-Geräte

, München, Bitdefender | Autor: Herbert Wieler

Neu entdecktes Botnet infizierte bereits 20.000 IoT-Geräte

Überwiegend IP-Kameras betroffen

Das neu aufkommende HNS (Hide`N Seek) IoT-Botnet wurde erstmals am 10. Januar von den Malware-Forschern aus den Bitdefender Labs entdeckt. Danach verschwand es für ein paar Tage und ist nun über das Wochenende wieder zurückgekommen.

Die Anzahl der infizierten Systeme wuchs zum Zeitpunkt der Entdeckung von 12 auf nun bis über 20.000 Devices an. Die Security Experten konnten das neue Botnet durch ein IoT-Honeypot-System aufspüren. Bei den im Honeypot identifizierten Proben, handelte es sich vor allem um Angriffsziele auf IP-Kameras, die von einem koreanischen Unternehmen hergestellt werden. Diese Geräte scheinen im Botnetz eine wichtige Rolle zu spielen, da von den 12 in der Probe fest codierten IP-Adressen, 10 zu Focus H & S-Geräten gehörten.

Erst kürzlich entdeckten Sicherheitsexperten weitere IoT-Botnets, von denen die meisten mit dem Mirai-Botnet in Verbindung gebracht wurden; wie beispielsweise Satori , Okiru und Masuta. Im Gegensatz dazu, hat das HNS-Botnetz aber eine andere Herkunft und teilt auch nicht den gleichen Quellcode.

Die Bitdefender-Forscher fanden eher Ähnlichkeiten zwischen den HNS- und dem Hajime- Botnet, das im Gegensatz zu Mirai, keine C & C-Server verwendet, sondern ein Peer-to-Peer-Netzwerk implementiert.

Hajime ist ausgeklügelter als Mirai, es implementiert mehr Mechanismen, um seine Aktivitäten und laufende Prozesse zu verbergen. Seine modulare Struktur erlaubt es Betreibern, neue Fähigkeiten im laufenden Betrieb hinzuzufügen.

Es ist das zweite bekannte IoT-Botnet, das nach dem berüchtigten Hajime-Botnet eine dezentralisierte Peer-to-Peer-Architektur hat“, erklärt Bitdefender . „Wenn jedoch im Fall von Hajime die P2P-Funktionalität auf dem BitTorrent-Protokoll basiert, haben wir hier einen maßgeschneiderten P2P-Kommunikationsmechanismus

Die HNS-Malware kann eine Reihe von IoT-Geräte mit einem Exploit als Reaper infizieren. Zudem ist die aktuelle Version in der Lage, verschiedene Arten von Befehlen zu empfangen und auszuführen; beispielsweise zur Datenexfiltration, Codeausführung, oder zum Anstoßen von störenden Interferenzen. Nach Ansicht der Security-Experten befindet sich das Botnet noch in der Entwicklung, es enthält keine DDoS-Fähigkeiten, was darauf hindeutet, dass es als Proxy-Netzwerk eingesetzt werden soll.

Während IoT-Botnetze schon seit Jahren existieren und hauptsächlich für DDoS-Angriffe verwendet werden, zeigen die neuesten Entdeckungen, die während der Untersuchung des Hide and Seek-Bots gemacht wurden, eine höhere Komplexität und neuartige Fähigkeiten, die potentiell für den Datendiebstahl, die Erpressung und für die Spionage geeignet sind. Zudem wird das Botnet ständig überarbeitet und schnell erweitert

Vorgehensweise

Der Bot verfügt über einen wurmähnlichen Verbreitungsmechanismus, der nach dem Zufallsprinzip eine Liste von IP-Adressen generiert, um potenzielle Ziele zu erhalten. Es initiiert dann eine Raw-Socket-SYN-Verbindung zu jedem Host in der Liste und setzt die Kommunikation mit denen fort, die die Anforderung an bestimmten Ziel-Ports (23 2323, 80, 8080) beantworten. Sobald die Verbindung hergestellt ist, sucht der Bot nach einem bestimmten Banner ("buildroot login"), das vom Opfer präsentiert wird. Wenn er dieses Anmeldebanner erhält, versucht er sich mit einer Reihe von vordefinierten Anmeldeinformationen anzumelden. Wenn dies fehlschlägt, versucht der Bot einen Wörterbuchangriff mit einer fest codierten Liste.

Sobald eine Sitzung mit einem neuen IoT-Opfer abgeschlossen ist, wird das Sample über eine "Statusmaschine" ausgeführt, um das Zielgerät ordnungsgemäß zu identifizieren und die am besten geeignete Angriffsmethode auszuwählen. Wenn sich das Opfer zum Beispiel im gleichen LAN wie der Bot befindet, richtet der Bot den TFTP-Server ein, damit das Opfer den bösartigen Code herunterladen kann. Wenn sich das Ziel im Internet befindet, versucht der Bot eine bestimmte Remote-Payload-Bereitstellungsmethode, um das Gerät zum Herunterladen und Ausführen der Malware-Probe zu veranlassen. Diese Ausnutzungstechniken sind vorkonfiguriert und befinden sich an einem Speicherort, der digital signiert ist, um Manipulationen zu verhindern. Diese Liste kann remote aktualisiert und unter infizierten Hosts verbreitet werden. Zudem haben die Experten festgestellt, dass das HNS-Botnet auf infizierten Geräten keine Persistenz aufbauen kann. Sobald das Gerät neu gestartet wird, wird auch die Malware entfernt. Dies bedeutet, dass die Botnet-Betreiber das HNS-Botnetz kontinuierlich verwalten müssen.