XtravaganT - Fotolia

Sicherheitsrisiko: Standard-Passwörter bei IoT-Geräten

Das Mirai-Botnet verwendete die Default-Passwörter von vernetzten Geräten, um diese für großflächige Angriffe zu nutzen. Eine schnelle Lösung dieses Problems ist nicht in Sicht.

2016 verband Mirai über 500.000 Geräte zu einem weltweiten Botnetz mit Schwerpunkten in Asien und Südamerika. Mit DDoS-Angriffen auf Twitter, Spotify, Netflix und andere Online-Dienste sicherte sich die Software die Aufmerksamkeit der IT-Experten. Die befallenen Geräte waren in der Lage, kritische Attacken auf die Infrastruktur der Dienste auszuführen, unter denen manche Dienste zeitweilig offline gingen.

Mirai nutzte Schwachstellen in der Firmware von IoT-Geräten, die mit dem Internet verbunden waren und von ihren Besitzern unzureichend geschützt wurden. Dazu scannte die Software das Internet nach geeigneten Geräten wie IP-Kameras. Anschließend versuchte sie sich bei den Geräten mit Standardpasswörtern als Root-Nutzer einzuloggen, um den eigenen Code zu installieren.

Aufgrund dieser Verbreitungsstrategie sind Listen mit Zugangsdaten, wie sie im August 2017 für über 1700 DVR-Geräte veröffentlicht wurden, für Mirai uninteressant. Außerdem ist das Botnetz im letzten Jahr zwar geschrumpft, aber die Anzahl der bekanntgewordenen Zugänge ist im Vergleich zu den 100.000 bis 150.000 aktiven Geräten verschwindend gering. Diese beteiligen sich immer noch an den Telnet-Scans, um neue Ziele auszumachen und bilden somit die Grundlage des aktiven Mirai-Botnetzes. Die Anzahl der Anfragen auf Port 23, 2323 und 22, die die Geräte kapern, hat aber zurzeit ein konstantes Niveau erreicht.

Ein Experiment soll die Bedrohungslage aufdecken

Um einen genaueren Überblick über die aktuelle Bedrohungslage zu bekommen, diente ein einfaches Experiment. Dafür wurde ein DVR-Gerät, das normalerweise zur Aufzeichnung von Überwachungskameras verwendet wird, für knapp zwei Tage mit seinen Standard-Login-Daten online zugänglich gemacht und der Datenverkehr aufgezeichnet. Das bildet eine realistischere Umgebung als es die üblichen Honeypots normalerweise tun. Um zu vermeiden, dass sich der Wurm durch das Testgerät weiterverbreiten kann, blockierte eine Firewall den Datenverkehr vom DVR zum Internet.

Nachdem der Quellcode von Mirai veröffentlicht wurde, entstand eine Vielzahl unterschiedlicher Varianten. Viele Varianten deaktivieren Telnet auf den infizierten Geräten, um sich gegen Gegenangriffe zu schützen. Deshalb wurde das Gerät an eine ferngesteuerte Steckdose angeschlossen, die die Stromverbindung alle fünf Minuten unterbrochen hat und einen Reboot erzwang. Die Schädlinge überstehen einen solchen Reboot nicht, so dass das Gerät für einen erneuten Angriff verfügbar ist.

Bei der Auswertung des Experiments fiel auf, dass von über 10.000 Verbindungsversuchen 1.254 Angriffe mit den richtigen Standardpasswörtern erfolgten. Auch wenn es zunächst positiv scheint, dass nur ein Teil der Angriffe mit den richtigen Zugangsdaten erfolgt, ist das noch keine Erleichterung. Das Testsystem wurde innerhalb des Testraums dennoch ungefähr alle zwei Minuten durch einen Angriff kompromittiert, der die richtigen Zugangsdaten hatte. Die IP-Adressen der erfolgreichen Angriffe zeigten, dass sich trotz der zahlreiche Varianten von Mirai, die geographische Verbreitung nicht geändert hat. Länder wie Brasilien, China und Indien sind noch immer die Zentren der befallenen Systeme, aber auch aus Russland und der USA erfolgen viele Angriffe.

Eine schnelle Lösung ist unwahrscheinlich

Eine schnelle Lösung gegen das Mirai-Botnetz ist unwahrscheinlich. Ebenso werden die Angriffe vermutlich weitergehen. Die Strategie sich mit Standard-Login-Daten auf die Zielsysteme Zugang zu verschaffen, ist verhältnismäßig simpel. Der Erfolg von Mirai und seinen Ablegern hängt daher in hohem Maß davon ab, dass vielen Nutzern der IoT-Geräte das Problem nicht bewusst ist. Dazu kommt, dass eine Infektion mit dem Wurm nicht offensichtlich ist, wodurch befallene Systeme länger unentdeckt bleiben.

Das Problem zeigt sich auch an folgenden Zahlen: 75 Prozent der infizierten Systeme werden im Durchschnitt innerhalb von zehn Tagen bereinigt. Bei 25 Prozent der Systeme dauert eine Bereinigung allerdings durchschnittlich 142 Tage. Die Länge des Zeitraums legt den Schluss nahe, dass die Malware nicht bewusst, sondern lediglich zufällig durch Abstürze und die darauffolgenden Reboots entfernt wurde. Das bedeutet, dass die Systeme für den nächsten Angriff offen sind und die Bedrohung nicht entdeckt wird.

„Eine schnelle Lösung gegen das Mirai-Botnetz ist unwahrscheinlich. Ebenso werden die Angriffe vermutlich weitergehen.“

Johannes B. Ullrich, SANS Technology Institute 

Einige Mirai-Ableger wie Brickerbot sind mittlerweile darauf ausgelegt, die bedrohten Geräte für schädliche Angriffe unbrauchbar zu machen. Diese sind allerdings in der Regel ineffektiv. Sie überschreiben zwar den Speicher des Geräts, wie es vorgesehen ist und dadurch können die Geräte nicht mehr reagieren. Wie bei vielen anderen Versionen des Wurms hält der Effekt allerdings nur bis zum nächsten Neustart. Viele Nutzer greifen allerdings bei einem unerwarteten Verhalten eines Geräts regelmäßig zu einem Neustart, wodurch sie ihr Gerät für den nächsten Angriff öffnen.

Fazit

Regelmäßige Neustarts der IoT-Geräte sind natürlich kein adäquater Schutz vor Malware wie Mirai. Zwar können die unerwünschten Bots mit einem Neustart oft bereinigt werden, allerdings steht der Host damit lediglich für einen neuen Angriff bereit. Firmen und Privatanwender sollten ihre Geräte daher bereits im Vorfeld schützen, um den Schädlingen zuvorzukommen.

Leider ist es oft nicht möglich, die Default-Passwörter zu ändern. Die Passwörter sind in der Firmware vorprogrammiert und nur ein Firmware-Update verschafft Abhilfe. Diese Updates sind nicht immer einfach zu finden. Wenn möglich, dann sollte der Fernzugang via Telnet und SSH abgestellt werden, oder das Gerät sollte mit einer Firewall geschützt werden. Dies kann jedoch die Funktion des Geräts beeinträchtigen, wenn der Nutzer einschlägige Apps verwendet, um auf das Gerät zuzugreifen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Der Mirai-Code: Geschäftsmodell, Verbreitung und Abwehr

Ransomware attackiert industrielle Steuerungsanlagen

Industrieanlagen sind häufig ungenügend gegen Cyberattacken geschützt

 

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close