[vladi63]

Befürchtungen werden wahr: Code-Release bringt viele Mirai-Botnetze

Kauft keine IoT-Geräte! - DDoS-Welle schon bei nächstem Rekordwert



Jeder Anwender, dem etwas an der Nutzbarkeit des Internets liegt, sollte wohl besser erst einmal darauf verzichten, so genannte Internet-of-Things (IoT)-Geräte zu kaufen und bereits vorhandene vom Netz nehmen. Denn diese schaukeln die Wucht von DDoS-Attacken in bisher unbekannte Höhen.

Es gibt aktuell schon wieder einen neuen Rekord zu vermelden. In den letzten Tagen wurde auch der französische Webhoster OVH von einem Angriff getroffen, bei dem zu Spitzenzeiten Traffic auf die Systeme einprasselte, der kurz davor stand, die Marke von einem Terabit pro Sekunde zu knacken. Selbst starke Anbindungen von Datenzentren und solide Systeme dahinter geraten so definitiv problemlos an ihre Grenzen.

Nur kurz zuvor und teils zeitgleich hatte ein DDoS-Angriff bereits den Hoster Akamai, der eines der weltweit größten Content Delivery Networks betreibt, gezwungen, die Webseite des Sicherheits-Experten Brian Krebs abzuschalten. Auch hier sorgten schon vernetzte Geräte für einen Datenstrom von bis zu 620 Gigabit pro Sekunde, was selbst das Akamai-Netz nicht mehr abfangen konnte. Bei OVH kletterte der Spitzenwert nun auf 990 Gigabit pro Sekunde.

Infografik


Und erneut ging der Angriff von einem Botnetz aus, das sich aus IoT-Systemen zusammensetzte. Vor allem Überwachungskameras mit Netzwerkanbindung und digitale Videorekorder waren hier beteiligt. Bei der Analyse der Attacke wurden im Maximum über 152.000 Systeme gezählt, die hier parallel aktiv wurden. Das Ziel waren im aktuellen Fall Minecraft-Server, die in einem OVH-Datenzentrum stehen.

Last days, we got lot of huge DDoS. Here, the list of "bigger that 100Gbps" only. You can see the
simultaneous DDoS are close to 1Tbps ! pic.twitter.com/XmlwAU9JZ6
— Octave Klaba / Oles (@olesovhcom) 22. September 2016

Massenhaft unsichere Geräte
Der IoT-Bereich wurde von der Elektronik-Industrie in den letzten Monaten zu einem regelrechten Hype aufgeblasen. Alle möglichen Hersteller wollen möglichst schnell dabei sein und sich rechtzeitig Marktanteile sichern. Schon hier bleibt die ordentliche Implementierung der Firmware oft auf der Strecke, was zu gravierenden Sicherheitslücken führt.

Die Sicherheitsforscher von Symantec weisen aber auch auf den Aspekt hin, dass die fraglichen Systeme in der Regel über sehr begrenzte Leistungen verfügen und dadurch der Einsatz fortgeschrittener Sicherheits-Technologien, die mit moderner Malware umgehen können, kaum stattfindet. Durch Standard-Passwörter und einen unzureichenden externen Schutz bei vielen unerfahrenen Nutzern, die schon froh sind, wenn die Systeme bei ihnen funktionieren wie erwartet, haben Angreifer kaum mit nennenswerten Hindernissen zu rechnen, wenn sie neue Botnetze aufbauen.

Angesichts der sicherheitstechnischen Entwicklung, die aller Voraussicht nach noch nicht auf ihrem Höhepunkt angekommen ist, kann derzeit im Grunde nur davon abgeraten werden, entsprechende Geräte einzusetzen. Oder ihnen sollte zumindest von einigermaßen fähigen Nutzern der Zugang zum Internet komplett verwehrt werden. Ruhigen Gewissens kann man die durchaus attraktiven Features dieser Systeme im Grunde erst dann verwenden, wenn die Hersteller reagieren und zumindest die grundlegendsten wirksamen Sicherheits-Maßnahmen umsetzen.

Quelle

[melli0815]

Zitat:

Nur kurz zuvor und teils zeitgleich hatte ein DDoS-Angriff bereits den Hoster Akamai, der eines der weltweit größten Content Delivery Networks betreibt, gezwungen, die Webseite des Sicherheits-Experten Brian Krebs abzuschalten. Auch hier sorgten schon vernetzte Geräte für einen Datenstrom von bis zu 620 Gigabit pro Sekunde, was selbst das Akamai-Netz nicht mehr abfangen konnte.

Was man wohl getrost als Blödsinn bezeichnen kann. Ich würde allerdings auch nicht allzu großen Aufwand betreiben wollen, um einen kostenlos geschützten Blog vor DDoS-Angriffen zu schützen, während die zahlende Kundschaft dann u.U. auf der Strecke bleibt oder aber irgendwann nicht mehr einsieht, warum für die Dienste gezahlt werden soll.

Die Unterschlagung dieser klitzekleinen Information halte ich übrigens für wenig seriös. Denn so macht man Stimmung gegen Akamai, die den Blog, meiner Ansicht nach, vollkommen zu Recht nicht mehr weiter kostenlos gehostet haben.
Bleibt hier nur die Frage, ob ein Bezahlmodell in Frage gekommen wäre.

[vladi63]

Befürchtungen werden wahr: Code-Release bringt viele Mirai-Botnetze



Die Befürchtungen, die in der Security-Szene laut wurden, als der Quellcode der Mirai-Malware ins Netz gestellt wurde, haben sich inzwischen bestätigt. Die Zahl der IoT-Geräte, die mit ihr in Botnetze eingebunden wurden, ist in den letzten Wochen massiv angestiegen. Mirai sorgte für die Grundlage, mit der kürzlich die heftigsten DDoS-Angriffe aller Zeiten ausgeführt wurden. Erst wurde die Webseite des Sicherheits-Experten Brian Krebs lahmgelegt, indem sie mit bis zu 620 Gigabit pro Sekunde geflutet wurde. Anschließend verzeichnete der Hoster OVH eine Attacke, die in Spitzenzeiten bis zu 990 Gigabit pro Sekunde auf die Systeme einprasseln ließ.

Verantwortlich für die Attacken war ein Botnetz, das zum größten Teil aus gekaperten Überwachungskameras und digitalen Videorecordern bestand. Diese sind ein interessantes Ziel für Angreifer, da sie häufig nicht über so gute Schutzmechanismen wie ein PC mit modernem Betriebssystem verfügen und auch weniger stark unter Beobachtung durch einen Nutzer stehen. Wenige Tage nach den Attacken tauchte der Quellcode von Mirai plötzlich im Netz auf und die Entwickler erklärten, dass dieser seine Dienste für sie erledigt hätte und man ihn nun freigebe. Daraufhin war bereits abzusehen, dass verschiedene Nutzer zugreifen und die Software für ihre eigenen Zwecke missbrauchen werden.

Mehrere überlappende Netze
Laut einer aktuellen Untersuchung durch die Security-Abteilung des Backbone-Betreibers Level 3 soll die Zahl der Geräte, die von Mirai infiziert sind, deutlich angewachsen sein. Dabei sind offenbar verschiedene Akteuere nun mit der Malware aktiv, da gleich mehrere entsprechende Botnetz-Infrastrukturen gefunden wurden. Diese führen teilweise bereits Angriffe aus, bei denen bis zu hunderttausend verschiedene Geräte beteiligt sind.

Weiterhin hat man herausgefunden, dass sich die Botnetze teilweise überlappen. Das heißt, dass verschiedene Geräte gleich von mehreren Mirai-Ablegern infiziert sind. Damit dies funktioniert, müssen die jeweiligen Nutzer den Code ausreichend abgewandelt haben, damit sich die einzelnen Malware-Instanzen nicht ins Gehege kommen.

Quelle

[vladi63]

Mirai hat einen Bug: DDoS-Malware lässt sich mit Malware angreifen



Die Mirai-Malware, die in der letzten Zeit für spektakuläre DDoS-Attacken verantwortlich war, verfügt ihrerseits über eine Sicherheitslücke, die ihr zum Verhängnis werden könnte. Die effektivste Maßnahme, um Mirai-Botnetze auszuschalten, wäre aber auch wieder illegal. Nachdem die Malware bei den ursprünglichen Autoren ihren Dienst versehen hatte, haben diese ihre Quellcodes einfach frei ins Netz gestellt. Seitdem tauchen immer wieder neue Varianten und Botnetze auf, die weitergehende Angriffe starten. Besonders auffällig wurde hier die Attacke gegen den DNS-Dienstleister Dyn, durch die viel weitergehende Probleme verursacht wurden.

Die Schwierigkeit besteht darin, dass von Mirai so genannte IoT-Geräte befallen und missbraucht werden - konkret in diesem Fall meist Sicherheitskameras und digitale Videorecorder. Hier kann man nicht darauf hoffen, dass viele Nutzer die Infektion bemerken und vor Ort an einer Entfernung des Schädlings arbeiten, wie es bei PC-Malware der Fall wäre.

Hetzt die Malware auf sie!
Die Offenlegung des Quellcodes gab aber auch gutwilligen Entwicklern die Möglichkeit einer Analyse und schnell wurde eine Stelle ausfindig gemacht, an der sich die Malware mit einem Pufferüberlauf angreifen ließe. Dies kann genutzt werden, um den Schadcode zum Absturz zu bringen. Allerdings müsste man dann damit rechnen, dass die fraglichen Geräte schnell wieder mit funktionierenden Mirais infiziert werden - immerhin ist deren Anfälligkeit noch nicht beseitigt worden.

Eine Malware, die loszieht und Mirai angreift, könnte aber in einem zweiten Schritt einfach die missbrauchten Telnet-Zugänge schließen. Das hätte zur Folge, dass der Angriffsvektor für die Malware abgeschaltet wäre, aber auch die Besitzer der Systeme keinen Zugang mehr erhalten würden. Damit wäre der Einsatz einer solchen Anti-Malware-Malware im Grunde nicht weniger illegal als der Einsatz von Mirai.

Insofern betonte man seitens der Entwickler, dass ein solcher Wurm auch nur als Konzept zu Forschungszwecken zu verstehen sei. Allerdings räumte man schon ein, dass man einen Einsatz durchaus für gerechtfertigt hielte, wenn es darum ginge, einen aktuell laufenden massiven Angriff abzuwenden. Im jeweiligen konkreten Fall kann man dies durchaus als gute Idee verstehen - man sollte allerdings auch darüber nachdenken, welche Folgen es haben kann, wenn das Beispiel auf allen Seiten Schule macht und sich eines Tages vielleicht diverse Malware-Varianten gegenseitig im Netz bekriegen.

Quelle

[CinepleX]

Was für eine weltbewegende Neuigkeit.

[vladi63]

so wie deine!

[vladi63]

Kaum schaffen es die Security-Experten die auf der Mirai-Malware basierenden Botnetze halbwegs unter Kontrolle zu bekommen, ist auch schon der nächste Trojaner dabei, vernetze IoT-Geräte zu kapern. Dessen Macher haben sich recht frei aus diversen Quellen bedient.

Der neue Schädling ist unter dem Namen "Linux/IRCTelnet" in die Datenbanken eingegangen. Und die Malware verbreitet sich derzeit relativ schnell. Beobachtungen ergaben direkt nach der ersten Entdeckung rund 3.500 neue Infektionen binnen fünf Tagen. Dies sieht im Vergleich zu anderen Malware-Kampagnen nach wenig aus, doch kann es gut sein, das sich die Rate noch deutlich steigert. Hinzu kommt, dass einmal erfolgte Infektionen erst einmal dauerhaft sind, da die betroffenen Geräte von ihren Besitzern eigentlich nie kontrolliert werden, solange sie ihre ursprünglichen Aufgaben weiterhin erledigen.

Antrieb für die Entwicklung des neuen Schädlings bekamen die Entwickler offenbar aus dem Erfolg von Mirai - und sie gingen einen recht leichten Weg. Der größte Teil des Codes wurde laut den bisherigen Analysen von einer Malware namens Aidra übernommen, die in ihrer Hochzeit rund 420.000 Embedded-Linux-Systeme befallen hatte.

Tarnung? Braucht man nicht!
Die Routinen zum Scannen nach offenen Telnet-Ports, über die die IoT-Systeme befallen werden, wurden hingegen von einem Bot namens Bashlight übernommen. Dieser probiert unter anderem eine Liste von gebräuchlichen Standard-Logins aus, um sich Zugang zu verschaffen.

Während Schadcodes, die heute noch PCs befallen sollen, mit allen erdenklichen Mitteln versuchen, sich zu tarnen und festzusetzen, arbeitet Linux/IRCTelnet mit sehr einfachen Methoden. Tarnmechanismen sind aufgrund des Fehlens von Virenscannern auch gar nicht nötig. In den meisten Fällen genügt sogar ein Neustart des IoT-Systems, um die Malware wieder loszuwerden. Dies geschieht bei Geräten wie Überwachungskameras oder digitalen Videorecordern ohnehin meist nur, wenn es zu einem Stromausfall kommt. Wie schon bei Mirai besteht die Kernaufgabe von Linux/IRCTelnet darin, mit einer großen Zahl fremdkontrollierter Systeme DDoS-Attacken auszuführen.

Quelle

[vladi63]

Mirai-Botnetz schickt per DDoS jetzt ein ganzes Land offline



Mit Mirai erlebt das Netz derzeit nicht nur eine der bisher leistungsfähigsten Malwares für den Aufbau von DDoS-Botnetzen, sondern auch eine ganz besondere, wenn auch ziemlich fragwürdige Premiere: Per DDoS wurde ein komplettes Land vom Zugang zum Internet abgehalten.

Zugegeben: Es handelt sich um ein kleines Land mit einer vergleichsweise schwachen Anbindung an den globalen Backbone. Aber dennoch - bisher richteten sich entsprechende Attacken gegen konkrete einzelne Angebote im Netz. Dass es gleich einen ganzen Staat trifft, ist ein Novum. Und die ganze Sache scheint nicht einmal einem besonderen Zweck gedient zu haben.

Betroffen war der afrikanische Staat Liberia, berichtete der Sicherheitsforscher Kevin Beaumont. Dieser ist die Heimat von rund 4,5 Millionen Menschen, von denen weniger als zehn Prozent online sind. Es gibt auch nur zwei Provider und diese teilen sich eine einzige Glasfaser-Verbindung zum nächsten großen Backbone-Kabel.

Aldi Bot: Botnetz-Baukasten zum Discountpreis



Schadenspotenziel noch weitaus größer
In der Spitze erreichte die Attacke eine Wucht von 500 Gigabit pro Sekunde. Von Botnetzen, die auf der gleichen Malware beruhen, wurden durchaus schon heftigere Werte gemessen - allerdings legten sich die Angreifer dabei mit Seiten an, die mit Akamai eines der größten Content-Netzwerke der Welt hinter sich hatten. Die schwache Infrastruktur von Liberia hatte dem Angriff kaum etwas entgegenzusetzen.

Sollten noch mehr Zombie-Systeme eine solche Attacke starten, könnten die Probleme noch weitaus größer werden. Denn Liberia hängt mit an einem Unterseekabel, das von Europa nach Afrika geht. Wird die DDoS-Wucht noch größer, könnte auch dieses irgendwann an seine Grenzen kommen, wodurch dann quasi die Westküste des gesamten afrikanischen Kontinents im Mitleidenschaft gezogen würde.

Es gibt bisher keine konkrete Erklärung, warum Liberia angegriffen wurde. Allerdings scheint es hierfür schlicht keinen besonderen Grund zu geben. Das Land wurde offenbar zum Ziel, weil die Täter einfach einmal ausprobieren wollten, welche Möglichkeiten ihnen ein Mirai-Botnetz gibt, das sich aus übernommenen IoT-Geräte zusammensetzt.

Quelle