IoT-Botnetze

Neue Variante des IoT-Linux Botnets „Tsunami“ entdeckt

, München, Palo Alto Networks

Neue Variante des IoT-Linux Botnets „Tsunami“ entdeckt

Neue Malware nutzt Internet der Dinge, attackiert digitale Videorecorder und bildet Botnet

München, den 07.04.2017 – Die Anti-Malware-Abteilung von Palo Alto Networks, Unit 42, hat mit „Amnesia“ eine neue Variante des IoT/Linux Botnets „Tsunami“ entdeckt. Dieses neue Botnet attackiert eine Schwachstelle der digitalen Videorecorder (DVRs) des Anbieters TVT Digital in über 70 Ländern. Damit geraten knapp 230.000 Endgeräte ins Visier.

Palo Alto Networks geht davon aus, das Amnesia die erste Linux-Malware ist, die eine Technologie verwendet, mit der sie auch virtuelle Maschinen täuschen kann um die Analysewerkzeuge von Sandboxes zu umgehen. Bisher war diese Methode nur bei Malware aufgetreten, die Microsoft Windows und Google Android angegriffen hat.

Amnesia versucht herauszufinden, ob sich die Malware in einer virtuellen Maschine wie VirtualBox, VMware oder QEMU befindet. Wenn die Malware eine solche Umgebung entdeckt, dann löscht sie das virtualisierte Linux System indem sie alle Dateien im Filesystem löscht. Diese Vorgehen sehen die Anti-Malware-Forscher nicht nur in Linux Malware-Analyse-Sandboxes sondern auch auf einigen QEMU-basierten Linux-Servern in einer VPS-oder Public Cloud-Umgebung.

Die neuartige Malware nutzt eine Schwachstelle zur Remote-Ausführung von Code indem sie aktiv nach angreifbaren Systemen sucht, diese lokalisiert und infiziert. Obwohl die Schwachstelle in den DVRs seit über einem Jahr bekannt ist, so wurde sie noch nicht beseitigt und ist nun ein Einfallstor für Attacken.

Im Fall einer erfolgreichen Attacke übernimmt die Malware das infizierte Endgerät komplett. Die Angreifer können das Amnesia Botnet nutzen um große DDoS-Attacken zu starten, die den Mirai Botnet-Angriffen aus dem vergangenen Herbst ähnlich sind. Diese Angriffe im vergangenen Jahr waren äußerst umfangreich und schädlich

Neben der Bedrohung, die durch das Amnesia Botnet entsteht, offenbart die erste Linux-Malware dieser Art einige interessante Eindrücke und veranschaulicht Trends bei IoT/Linux-Botnets:

  • IoT/Linux-Malware nutzt nun auch klassische Techniken zur Täuschung von virtuellen Maschinen.
  • IoT/Linux-Malware adressiert und attackiert Schwächen in der Software zur Fernsteuerung von IoT-Endgeräten. Diese stammen meist von kleineren Herstellern, die häufig keine Patches anbieten.
  • IoT/Linux-Malware kann auch Linux-Server befallen, die in VPS- oder Public Cloud-Umgebungen laufen.

Mehr Informationen finden Sie HIER