Mirai Botnet

Myrai Botnet

Mirai-Malware: Geschäftsmodell, Vertrieb und Verteidigung Der Mirai-Code ist die Grundlage zahlreicher großer Angriffe in der jüngsten Zeit. Am Ende des Monats Dezember 2016 erschien eine neue Version von Mirai-Malware, die einen Verteilungsmechanismus verwendete, der sich grundsätzlich von den originalen Telnet-basierten Brute Force-Mechanismen des durchgesickerten Mirai-Quellcodes abhebt. Die neue Version schöpft Schwachstellen in der Implementierung des Protokolls TR-064/TR-069 aus, mit dem Internet dienstanbieter die Breitbandrouter ihrer Kundschaft remote verwalten.

Auch wenn viel über diese Mirai-Variante berichtet wurde, werden oft wesentliche Einzelheiten vernachlässigt oder andere Einzelheiten unverdientermaßen herausgestellt. Den Angreifern (auch Bedrohungsakteure genannt) stehen nicht nur vielfältige Verteilungsmethoden zur Verfügung, sondern sie setzen auch weiterhin DDoS-Botnets als gewinnbringende Einkommensquelle ein. Die zunehmende Gefährdung von Geräten mit Breitbandzugang führt dazu, dass Anbieter, die für die Sicherung und Leistung ihrer Netze zuständig sind, spezifische Schutzberatung einfordern.

Dies ist der einzige Weg, um zu verhindern, dass Mirai die Kontrolle über die bei seinen Abnehmern eingebauten Endgeräte (z.B. Breitband-Router) erwirbt oder einen Netzwerkausfall auslöst. Mehrere Medien haben berichtet, dass ein Botnet auf Basis der Variante TR-064/TR-069 Mirai für DDoS-Angriffe angemietet werden kann. Mit diesen so genannten Booter/Stresser- oder Miet-Botnets kann jeder, der den erforderlichen Betrag für einen DDoS-Angriff gegen ein bestimmtes Target bezahlen will.

Dass ein Botnet (unabhängig davon, ob es auf Mirai oder anderem bösartigen Code basiert) für jeden etwas bringt, sollte niemanden verwundern, denn das ist der wahre Sinn dieses Botnet. Die Bedrohungsakteure, die dieses Mirai-Botnetz bauen und betreiben, sind die Mobilfunkanbieter, da sie die Botnetz-Infrastruktur besitzen und anderen Bedrohungsakteuren (in dieser Entsprechung die MVNOs) einen gesteuerten Zugriff auf die Botnetz-Infrastruktur erlauben.

Die untergeordneten Akteure der Bedrohung stellen ihren Kunden im Gegenzug den DDoS-to-rent-Service zur Verfügung, legen ihre eigene Preisgestaltung fest und vertreiben diesen Service nach eigenem Ermessen. Manchmal verwenden sie die Mirai-Malware, in anderen Ländern verkauft sie nur etwas, das wie ihr eigenes Botnet wirkt. Der Miari Quellcode bietet mit der MySQL Account-Datenbank, API und CLI-Level Zugriff auf das Botnet eine durchgängige Lösung für ein solches Unternehmen.

Die Verteilungsmechanismen der neuesten Version des Mirai-Malcodes unterscheiden sich von den Verteilungsmechanismen des ursprünglichen durchgesickerten Mirai-Quellcodes. Die neue Mirai-Version hingegen schöpft Sicherheitslücken in Implementationen des Protokoll TR-064/TR-069 aus, mit denen Internetdienstanbieter die Geräte ihrer Endkunden (hauptsächlich Heimrouter) fernverwalten. Durch die verwundbaren Implementationen des auch als CPE WAN Management Protokoll (CWMP) bezeichneten Protokolles ist eine beliebige Codeausführung auf den betreffenden Routern möglich, indem dieser als Konfigurationsparameter in einer SOAP-Nachricht über den Port 7547 an den Routers gesendet wird.

Durch die Möglichkeit, beliebigen Quellcode auszuführen, kann die Mirai-Nutzlast auf den Rechner aufgeladen werden. So wird das Device für das Mirai-Botnet geworben. Nachdem das Internet Security Device Teil des Botnetzes ist, kann es auf Kommando DDoS-Angriffe ausführen und nach anderen gefährdeten Devices durchsuchen. Die Mirai Botnet war bereits für mehrere sensationelle DDoS-Angriffe mitverantwortlich.

Daher vermuteten viele Betrachter irrtümlich, dass die letzten größeren Störungen bei zwei deutschen Breitbandanbietern und dem BSI auch auf Mirai-basierte DDoS-Angriffe zurückzuführen sind. Inwiefern man den Mirai-basierten DDoS-Angriffen entgegentreten kann, lesen Sie im Weblog des Asert-Team. ISPs, die einen Breitbandzugang bereitstellen, sollten ihre Customer Access Networks (CANs) nach manipulierten oder gefährdeten Teilnehmern absuchen und geeignete Massnahmen treffen, um die betreffenden Nutzer darüber zu unterrichten.

Wenn Internetdienstanbieter die gefährdeten CPEs selbst zur Verfügung gestellt haben, sollten sie umgehend handeln, um diese auszulösen. Massives Scannen seitens der Täter kann dazu fuehren, dass die Geraete wieder bearbeitet werden, sobald sie neugestartet werden. "Die Mirai ist eine Platform, die vermietbare Botnetze für DDoS-Aktivitäten ermöglicht. Damit können die Täter DDoS-Angriffe gegen jegliche Art von Zielen gegen eine angemessene Belohnung auslösen.

"Internetdienstanbieter, die DSL-Breitbandnetze einsetzen, sollten Best Current Practices (BCPs) einführen, um sicherzustellen, dass nur die speziellen Netzwerkmanagementsysteme der Internetdienstanbieter selbst auf die Remote-Management-Funktionen dieser CPE-Geräte Zugriff haben. Kabelmodem-Netzbetreiber sollten das gleiche Verfahren für DOCSIS-Netzwerkmanagementsysteme anwenden, die zur Remote-Verwaltung von CPE-Geräten in ihren Netzen eingesetzt werden.

Außerdem sollten Internetdienstanbieter, die einen Breitbandzugang bieten, die Eigenschutzmechanismen ihrer in ihre Netzgeräte einbinden. Die manipulierten Devices können es erzeugen, um nach anderen verwundbaren CPE-Geräten zu suchen, die für das Botnet rekrutiert werden sollen. Auf diese Weise wird gewährleistet, dass die massiven Scan-Aktivitäten von manipulierten CPE-Geräten große Bereiche der Nutzergruppen nicht lahm legen können.

Die Mirai ist eine Platform, die vermietbare Botnetze für DDoS-Aktivitäten bietet. Die Angreifer können damit für eine angemessene Belohnung DDoS-Angriffe gegen ein beliebiges Ziel einleiten. Mirai-basierte Botnetze sind eine Konstante im Bedrohungsfall der nächsten Zeit, da bereits eine große Anzahl an unsicheren IoT-Geräten vorhanden ist und tagtäglich wächst. Allein durch den Ansatz, diese Devices in ein Botnet zu implementieren, führt Mirai zu Ausfällen.

So bereiten Sie sich auf DDoS-Angriffe vor.

Mehr zum Thema