IoT-Malware Mukashi

Neue Mirai-Variante nimmt Network Attached Storage ins Visier

, München/Wien/Zürich, Unit 42 | Autor: Herbert Wieler

Neue Mirai-Variante nimmt Network Attached Storage ins Visier

Palo Alto Networks warnt

Unit 42, die Security-Forschungsabteilung von Palo Alto Networks, warnt vor einer neuen Variante der IoT-Malware Mirai, namens Mukashi. Sobald der Proof-of-Concept (PoC) für CVE-2020-9054 im vergangenen Monat öffentlich zugänglich gemacht wurde, haben Cyberangreifer diese Schwachstelle umgehend ausgenutzt, um anfällige Versionen von NAS-Geräten (Network-Attached Storage) von Zyxel zu infizieren.

Mukashi ist ein Bot, der den TCP-Port 23 von zufälligen Hosts scannt, Anmeldungen mit verschiedenen Kombinationen von Standard-Zugangsdaten erzwingt und den erfolgreichen Anmeldeversuch an seinen C2-Server (Command and Control) meldet. Wie andere Mirai-Varianten ist auch Mukashi in der Lage, C2-Befehle zu empfangen und DDoS-Angriffe zu starten.

Mehrere, wenn nicht sogar alle NAS-Produkte von Zyxel mit Firmware-Versionen bis 5.21 sind anfällig für diese Schwachstelle der Kategorie „Pre-Authentication Command Injection“. Der Warnhinweis des Herstellers ist bereits verfügbar . Die Schwachstelle ist als kritisch eingestuft worden, da sie einfach auszunutzen ist. Es ist nicht überraschend, dass die Akteure diese Schwachstelle ins Visier nehmen, um im IoT-Bereich Schaden anzurichten. Sie wurde zunächst durch den Verkauf des Exploit-Codes als Zero-Day-Version entdeckt.

Der erste Vorfall geschah am 12. März 2020 um 19:07 Uhr (UTC) und wurde von der Next-Generation-Firewall von Palo Alto Networks erfasst. Der Bedrohungsakteur versuchte, ein Shell-Skript in das tmp-Verzeichnis herunterzuladen, das Skript auszuführen und die Evidenz auf einem anfälligen Gerät zu entfernen. Nach der Ausführung werden verschiedene Architekturen des Mirai-Bots heruntergeladen, die Binärdateien ausgeführt und entfernt. Wenn die Ausführung der Malware erfolgt, gibt Mukashi die Meldung „Protecting your device from further infections“ an die Konsole aus. Die Malware ändert dann ihren Prozessnamen in dvrhelper, was darauf hindeutet, dass Mukashi bestimmte Eigenschaften von seinem Vorgänger geerbt haben könnte.

Palo Alto Networks empfiehlt dringend eine Aktualisierung der Firmware, um die Angreifer in Schach zu halten. Die neueste Version der Firmware des Herstellers steht zum Download zur Verfügung. Ebenso empfehlen die Sicherheitsexperten generell die Nutzung komplexer Paswörter, um Brute-Force-Angriffe zu verhindern.