Weissblick - Fotolia

Mirai-Schadsoftware: Geschäftsmodell, Verbreitung und Abwehr

Zahlreiche Großangriffe der jüngeren Vergangenheit basieren auf dem Mirai-Code. Was steckt dahinter und wie können sich Unternehmen schützen?

Ende November 2016 tauchte eine neue Variante der Mirai-Schadsoftware auf, die einen Verbreitungsmechanismus nutzte, der sich grundlegend von den ursprünglichen Telnet-basierten Brute-Force-Mechanismen des geleakten Mirai-Quellcode unterschied. Diese neue Variante nutzt Sicherheitslücken in Implementierungen des TR-064/TR-069-Protokolls, das ISPs zur Fernverwaltung von Breitbandroutern ihrer Kunden verwenden. Obwohl bereits sehr viel über diese Mirai-Variante geschrieben wurde, werden häufig wichtige Details übersehen oder aber andere Details unverdient hervorgehoben.

Die Angreifer (auch Threat Actors genannt) arbeiten nicht nur mit den unterschiedlichsten Verbreitungsmethoden, sondern nutzen DDoS-Botnetze nach wie vor auch als lukrative Einnahmequelle. Da sich diese wachsende Bedrohung nun auf Geräte mit Breitbandzugriff konzentriert, benötigen Provider, die für die Sicherheit und Performance ihrer Netzwerke verantwortlich sind, eine ganz spezielle Beratung bezüglich der Abwehrmaßnahmen. Nur so kann verhindert werden, dass Mirai die Steuerung der bei ihren Kunden installierten Geräte (wie Breitbandrouter) übernimmt beziehungsweise Netzwerkausfälle verursacht.

Das Mirai-Botnetz und seine Geschäftsmodelle

Verschiedene Medienkanäle berichteten, dass ein auf der TR-064/TR-069-Mirai-Variante basierendes Botnet für DDoS-Angriffe gemietet werden kann. Diese sogenannten Booter/Stresser beziehungsweise mietbaren Botnets ermöglichen es jedem, der bereit ist, den geforderten Preis zu zahlen, einen DDoS-Angriff gegen ein beliebiges Ziel zu starten. Die Tatsache, dass mit einem Botnet (unabhängig davon, ob es auf Mirai oder einem anderen Schadcode basiert) Geld verdient wird, sollte dabei eigentlich niemanden mehr überraschen, da dies der eigentliche Zweck dieses Botnets ist. Das dahinterstehende Geschäftsmodell lässt sich am ehesten mit dem eines Mobilfunkdiscounters beziehungsweise Mobilfunkproviders (mobile virtual network operator, MVNO) vergleichen.

Verwendet man diese Analogie, handelt es sich bei den Threat Actors, die dieses Mirai-Botnet aufbauen und unterhalten, um die Mobilfunkbetreiber, denn sie sind Eigentümer der Botnet-Infrastruktur und ermöglichen anderen Threat Actors (in dieser Analogie die MVNOs) kontrollierten Zugang zur Botnet-Infrastruktur. Diese nachrangigen Threat Actors bieten wiederum ihren Endkunden den DDoS-zum-Mieten-Dienst an, wobei sie ihre eigene Preisstruktur festlegen und diesen Dienst nach Belieben vermarkten. In einigen Fällen nutzen sie dazu die Mirai-Schadsoftware, in anderen verkaufen sie einfach etwas, was aussieht wie ihr eigenes Botnet. Mit der MySQL-Account-Datenbank, API und CLI-Level-Access zum Botnet verfügt der Mirai-Quellcode über eine integrierte Unterstützung für ein solches Geschäftsmodell.

Neue Verbreitungsmechanismen von Mirai

Der von der jüngsten Variante des Mirai-Schadcodes genutzte Verbreitungsmechanismus unterscheidet sich von den Verbreitungsmechanismen des ursprünglich geleakten Mirai-Quellcodes. Dieser führt Telnet-basierte Brute-Force-Angriffe aus, um schlecht designte und konfigurierte IoT-Geräte (Internet of Things) zu manipulieren. Die vordefinierte Liste mit Standardbenutzernamen und Standardpasswörtern führte in großem Umfang zu Angriffen auf Webcams und digitale Videorekorder.

Im Gegensatz dazu nutzt die neue Mirai-Variante Schwachstellen in Implementierungen des TR-064/TR-069-Protokolls aus, das ISPs zur Fernverwaltung von Geräten ihrer Kunden einsetzen (in erster Linie Home-Router). Die anfälligen Implementierungen des Protokolls – das auch als CPE WAN Management Protocol (CWMP) bekannt ist – erlauben die Ausführung beliebigen Codes auf den betroffenen Routern, indem sie diesen Code in Form von Konfigurationsparametern einschleusen, die in einer SOAP-Nachricht per HTTP über Port 7547 auf den Router gelangen.

Eine detaillierte Erklärung dieses Exploits liefert ISC. Da beliebiger Code ausgeführt werden kann, kann den Mirai-Payload auf den Router geladen und dort installiert werden. Auf diese Weise wird das Gerät für das Mirai-Botnet rekrutiert. Sobald das IoT-Gerät Teil des Botnets ist, kann es auf Befehl DDoS-Attacken starten und nach weiteren anfälligen Geräten suchen.

Nicht jeder Ausfall geht auf eine DDoS-Attacke zurück

Das Mirai-Botnet war bereits für verschiedene aufsehenerregende DDoS-Angriffe verantwortlich. Zur Zielscheibe wurden unter anderem das Blog „Krebs on Security“, der französische Hosting-Provider OVH, der Managed-DNS-Provider Dyn und ein Mobilfunkbetreiber in Liberia. Viele Beobachter gingen deshalb fälschlicherweise davon aus, dass auch die jüngsten Großstörungen bei zwei europäischen Breitband-Providern und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) auf das Konto Mirai-basierter DDoS-Attacken gingen. Diese Ausfälle waren jedoch keinesfalls das Ergebnis eines DDoS-Angriffs: Vielmehr waren die massiven Störungen das Resultat von aggressivem horizontalem Scanning und Versuchen, Home-Router mit Hilfe der im vorherigen Abschnitt beschriebenen Verbreitungsmechanismen zu manipulieren.

Abwehrmaßnahmen für IT-Organisationen

Wie Unternehmen den Mirai-basierten DDoS-Angriffen begegnen können, lässt sich unter anderem im Blog des ASERT-Teams nachlesen. ISPs, die Breitbandzugriff anbieten, sollten ihre Zugangsnetze für Benutzeranschlüsse (Customer Access Networks, CANs) proaktiv scannen, um manipulierte beziehungsweise anfällige Knoten zu lokalisieren und entsprechende Maßnahmen zu ergreifen, um die betroffenen Benutzer darüber zu informieren, dass ihre Geräte Schwachstellen aufweisen. Falls die ISPs die anfälligen CPE-Geräte selbst bereitgestellt haben, sollten sie unverzüglich Maßnahmen einleiten, um diese Geräte auszutauschen. Massive Scanning-Aktivitäten auf Seiten der Angreifer können dazu führen, dass die Geräte sofort erneut manipuliert werden, sobald sie neu gestartet werden.

„Mirai ist eine Plattform, die mietbare Botnets für DDoS-Aktivitäten unterstützt. Diese ermöglichen es den Angreifern, gegen eine entsprechende finanzielle Vergütung DDoS-Angriffe gegen beliebige Ziele zu starten.“

Christian Reuss, Arbor Networks

 

ISPs, die DSL-Breitbandnetze betreiben, sollten Best Current Practices (BCPs) implementieren, damit sichergestellt ist, dass nur die dedizierten Netzwerk-Management-Systeme der ISPs selbst auf Fernverwaltungsfunktionen dieser CPE-Geräte zugreifen können. Betreiber von Kabelmodemnetzen sollten im Falle von DOCSIS-Netzwerk-Management-Systemen, die zur Fernverwaltung von CPE-Geräten in ihren Netzwerken verwendet werden, in gleicher Weise vorgehen. Darüber hinaus sollten ISPs, die Breitbandzugriff anbieten, die in ihre Netzwerkgeräte integrierten Selbstschutzmechanismen ihrer Infrastruktur nutzen.

Auf diese Weise ist es möglich, die Bandbreite für ARP-Anfragen und anderen relevanten Datenverkehr auf Steuerebene (Control Plane, CP) zu beschränken. Manipulierte Geräte generieren diesen möglicherweise zur Suche nach weiteren anfälligen CPE-Geräten, um diese für das Botnet zu rekrutieren. Dadurch ist  sichergestellt, dass massive Scanning-Aktivitäten durch manipulierte CPE-Geräte nicht große Teile der Benutzergruppen lahmlegen können. Denn die negativen Auswirkungen derartiger Scanning-Aktivitäten sind bereits im Vorfeld beschränkt.

Fazit

Mirai ist eine Plattform, die mietbare Botnets für DDoS-Aktivitäten unterstützt. Diese ermöglichen es den Angreifern, gegen eine entsprechende finanzielle Vergütung DDoS-Angriffe gegen beliebige Ziele zu starten. Angesichts der bereits vorhandenen riesigen Menge unsicherer IoT-Geräte, die täglich weiterwächst, stellen Mirai-basierte Botnets eine feste Größe im Bedrohungsszenario der nahen Zukunft dar. Schon allein durch den Versuch, diese Geräte in ein Botnet zu integrieren, verursacht Mirai Ausfälle.

Über den Autor:
Christian Reuss ist Sales Director DACH bei Arbor Networks.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie man sich auf DDoS-Angriffe vorbereiten kann.

So können Unternehmen ihre DDoS-Anfälligkeit reduzieren.

DDoS-Abwehrdienste: Was Sie vor dem Einsatz wissen sollten.

Unternehmen auf Cloud-DDoS-Attacken vorbereiten.

Artikel wurde zuletzt im Januar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close