Fotolia

F

Wie attackiert die Malware BrickerBot IoT-Geräte?

BrickerBot übernimmt Geräte nicht im Verborgenen, wie andere IoT-Schadsoftware, sondern macht die infizierten Systeme unbrauchbar. Die Malware setzt auf Standard-Anmeldedaten.

Die Malware BrickerBot soll nach einem Angriff IoT-Geräte dauerhaft unbrauchbar machen. Was kann man tun, um sich vor dem Angriff zu schützen?

Ganz ähnlich wie Mirai oder andere IoT-Malware arbeitet BrickerBot mit einer Liste bekannter Standardanmeldeinformationen, um auf Linux-basierte IoT-Geräte zuzugreifen. Der Angriff richtet sich gegen Systeme, auf denen BusyBox ausgeführt wird. Wenn die werkseitigen Default-Anmeldedaten nicht geändert wurden, meldet sich BrickerBot an und führt einen destruktiven Angriff auf den infizierten Geräten durch.

Das Emergency Response Team von Radware hat die Malware im Frühjahr 2017 entdeckt, als BrickerBot damit begann, einen Honeypot von Radware anzupingen. Anders als Mirai scannt BrickerBot das Internet nicht nach neuen Opfern, sondern sucht nach bereits infizierten IoT-Geräten (Internet of Things). Ziel scheint zu sein, mit Mirai infizierte Geräte dauerhaft zu deaktivieren, so dass diese nicht mehr Teil eines Botnets sein können.

BrickerBot sucht nach unsicheren Telnet-Zugängen (Port 23) und auf Port 7457, um IoT-Systeme zu entdecken, die mit anderer Malware infiziert wurden. Der Telnet-Port erlaubt unter Umständen den Zugang mit den Standardanmeldeinformationen. Einmal im System nutzt BrickerBot verschiedene Linux-Kommandos, um zunächst den internen Speicher unbrauchbar zu machen und danach die Internetverbindung unmöglich zu machen.

So ist es dem Administrator nicht mehr möglich, Patches über die entsprechenden Ports einzuspielen. Die Ports der betroffenen Geräte werden blockiert und auch ein Zurücksetzen auf die Werkseinstellungen rettet die Systeme nicht. Gleichfalls bleibt ein einfacher Neustart ohne Wirkung. Die Geräte sind schlicht unbrauchbar.

Die vier unterschiedlichen Versionen von BrickerBot arbeiten unabhängig voneinander und benötigen für ihr zerstörerisches Tun auch keinen Command-and-Control-Server. Bei den unterschiedlichen Versionen unterscheidet sich unter anderem die Reihenfolge, in der die schädlichen Befehle ausgeführt werden.

Um sich gegen BrickerBot zu wappnen, sollten die voreingestellten Credentials entsprechender Geräte geändert und der Telnet-Port deaktiviert werden. Bereits beschädigte Geräte sollten auch tatsächlich offline genommen und ersetzt werden. Bei Inbetriebnahme sollten die Geräte mit der neuesten, verfügbaren Firmware online gehen. Je nach Gerätegattung notwendige Daten für eine Wiederherstellung sollten anderweitig gesichert werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Standard-Passwörter bei IoT-Geräten sind ein Sicherheitsrisiko

Das Mirai-Botnet und seine Verbreitung

IoT-Herausforderungen für Unternehmen

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close