Neuer Botnet-Angriff “beschämt andere IoT-Botnetze”
Ein zerstörerisches neues Botnetz, das gefährdete IoT-Geräte (Internet of Things) kompromittiert und deren Ressourcen entführt, um verheerende DDoS-Angriffe (Distributed Denial of Service) durchzuführen, wird vom Sicherheitsforschungsunternehmen Bitdefender gemeldet. Das IoT-Botnetz, das das Unternehmen “dark_nexus” genannt hat, wurde kürzlich in freier Wildbahn gefunden und verfolgt innovative und gefährliche neue Ansätze, um die IT-Infrastruktur erfolgreich anzugreifen.
SEHEN: Cybersecurity: Let’s get tactical (free PDF) (TechRepublic)
“Unsere Analyse hat ergeben, dass dark_nexus zwar einige Qbot- und Mirai-Codes wiederverwendet, die Kernmodule jedoch größtenteils original sind”, sagte Bitdefender in einem 22-seitigen Whitepaper, das am 8. April über die Angriffe veröffentlicht wurde.” Während einige seiner Funktionen mit bisher bekannten IoT-Botnetzen geteilt werden können, macht die Art und Weise, wie einige seiner Module entwickelt wurden, dark_nexus deutlich leistungsfähiger und robuster”, heißt es in dem Bericht.
“Zum Beispiel werden Payloads für 12 verschiedene CPU-Architekturen kompiliert und basierend auf der Konfiguration des Opfers dynamisch bereitgestellt”, während dem Bericht zufolge auch eine Technik verwendet wird, die die “Vorherrschaft” auf dem kompromittierten Gerät sicherstellen soll. “Einzigartig ist, dass dark_nexus ein auf Gewichten und Schwellenwerten basierendes Bewertungssystem verwendet, um zu bewerten, welche Prozesse ein Risiko darstellen könnten. Dies beinhaltet die Verwaltung einer Liste von Prozessen auf der Whitelist und ihrer Perimeter Intrusion Detection Systems (PIDs) und das Beenden jedes anderen Prozesses, der eine Schwelle des Verdachts überschreitet.”
Das dark_nexus-Botnetz, das mindestens 1.352 Bots umfasst, wurde offenbar von einem bekannten Botnet-Autor entwickelt, der seit Jahren DDoS-Dienste und Botnet-Code online an andere Angreifer verkauft, um Gewinn zu erzielen.
Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender, sagte, dass DDoS-Angriffe, die von diesem Botnetz gestartet werden, es Angreifern ermöglichen können, entführte Geräte zu kontrollieren, indem sie alle kompromittierten Geräte im Botnetz auffordern, gleichzeitig eine Webseite oder einen Webdienst zu besuchen, was diesen Server unter der Arbeitsbelastung zerstören kann.
“Die Opfer werden sich nicht einmal bewusst sein, dass ihre Geräte als Waffen gegen harmlose Ziele im Internet eingesetzt werden, auch wenn die Ergebnisse für die Opfer oder für das reibungslose Funktionieren des Internets katastrophal sein könnten”, sagte Botezatu. “Ein typisches Beispiel: Im Jahr 2016 startete eine Gruppe von Teenagern mit entführten IoT-Geräten einen verheerenden Angriff auf die zentrale Internetinfrastruktur, der das Internet in den USA etwa einen Tag lang störte, Fortune-500-Unternehmen offline stellte und finanzielle Verluste verursachte, die nicht abschätzbar sind.”
Die DDoS-Angriffe können gegen Server, Dienste oder Netzwerke gestartet werden, um sie mit Datenverkehr zu überschwemmen und ihre typischen Vorgänge zu beeinträchtigen.
Das dark_nexus-Botnetz wird auf YouTube zum Verkauf angeboten, wobei die beworbenen Preise für 2.500 Sekunden Bootzeit so niedrig wie etwa 18,50 US-Dollar pro Monat sind. Für etwa 99 US-Dollar pro Monat können Angreifer unbegrenzten Zugriff erwerben, wodurch das Botnetz für jeden mit 20 US-Dollar und ziemlich grundlegenden Computerkenntnissen zugänglich wird, um ihre eigenen Angriffe zu starten.
” IoT-Botmaster stehen in direktem Wettbewerb miteinander und treiben Innovationen bei IoT-Geräten voran, um hartnäckig zu bleiben und auf dem Markt wettbewerbsfähig zu bleiben “, sagte Botezatu. “Sie haben bessere Infektionsmechanismen als Wettbewerber, bessere Marketingtechniken und niedrigere Mietpreise, was DDoS für alle erschwinglich macht.”
Um Angriffe aus dem dark_nexus-Botnetz zu bekämpfen, müssen Verbraucher und Unternehmen ihre internen Netzwerke ständig überprüfen, um verbundene IoT-Geräte zu identifizieren und Schwachstellenbewertungen durchzuführen, um ungepatchte oder falsch konfigurierte Geräte zu entdecken, bevor Angreifer dies tun”, sagte Botezatu. “Da IoT-Standards und -Vorschriften wahrscheinlich noch Jahre entfernt sind, trägt der IoT-Verbraucher die Verantwortung für seine Infrastruktur.”
Dieser globale Mangel an benötigten IoT-Sicherheitsstandards, der IoT-Geräte verhärten und weniger anfällig für Angriffe machen würde, ist ein großer Fehler in der Branche und ermöglicht es diesen Arten von Botnet-Angriffen, erfolgreich und lukrativ für Hacker zu sein.
SIEHE: IoT in Ihrer Organisation sichern: 10 Best Practices (kostenloses PDF) (TechRepublic)
In der Zwischenzeit können solche Angriffe durch den Einsatz von IoT-Sicherheitsanwendungen gestoppt werden, die solche Angriffe auf Netzwerkebene durch Erkennung von anomalem Datenverkehr und durch die Verwendung von Zielen und verteidigen können Kontinuierlich gepatchte Geräte, die Systeme effektiv vor erfolgreichen Eingriffen schützen, sagte er. Benutzer können ihre Systeme auch schützen, indem sie standardmäßig Telnet- und SSH-Ports deaktivieren.
“Da die meisten IoT-Anbieter Cybersicherheit als nachträglichen Einfall betrachten, gedeihen, wachsen und wirken sich IoT-Botnetze leider weiterhin auf Unternehmen aus, was zu erheblichen Betriebsausfällen und Ausfallzeiten führt”, sagte er.
Frühere Versionen des etwa 3 Monate alten dark_nexus verwendeten Exploits für die Verbreitung, aber jetzt verbreitet sich das Botnetz ausschließlich mit Brute-Force unter Verwendung des Telnet-Protokolls, sagte Botezatu. “Dies ist eine niedrig hängende Frucht, da es die größte Anzahl von Verstößen mit den niedrigsten Kosten und dem geringsten Aufwand liefert”, sagte er.
SIEHE: Brute-Force- und Wörterbuchangriffe: Ein Spickzettel (kostenloses PDF) (TechRepublic)
Mehr als 50 Prozent dieser Bots stammen aus China, Korea und Thailand, sagte Botezatu. “Diese Liste enthält einige ungewöhnliche Kombinationen, die wir zuvor noch nicht von Bots verwendet hatten, was unserer Meinung nach darauf hindeutet, dass der Autor von dark_nexus einige Anstrengungen unternommen hat, um sie zu kompilieren. Das Botnetz scheint insbesondere auf keine IP-Bereiche abzuzielen, vielmehr arbeitet die Zufallsgenerierungsfunktion mit einer Blacklist ähnlich der von Mirai.”
Siehe auch
- So werden Sie Cybersecurity-Profi: Ein Spickzettel (TechRepublic)
- Mastermind-Betrüger hinter Catch Me If You Can> Cybersecurity (TechRepublic Download)
- Windows 10-Sicherheit: Ein Leitfaden für Führungskräfte (TechRepublic Premium)
- Online-Sicherheit 101: Tipps zum Schutz Ihrer Privatsphäre vor Hackern und Spionen (ZDNet)
- Alle VPN-Begriffe, die Sie kennen müssen (CNET)
- Cybersecurity und Cyberwar: Mehr Must-Read-Berichterstattung (TechRepublic auf Flipboard)
