Mirai-Botnetz: Neue Malware-Variante greift Router und IoT-Geräte an

Angriff auf Router & Co. ? Mirai-Botnetz übernimmt Smart Devices

Das Mirai-Botnetz ist zurück und verwendet eine neue Variante der Malware namens "V3G4". Die Schadsoftware infiziert Linux-basierte Geräte wie Router, IP-Kameras und andere Smart Devices und setzt sie für DDoS-Angriffe ein.



Die Funktionsweise von V3G4


Die Malware nutzt alles in allem 13 Schwachstellen um aus der Ferne bösartigen Code auf den Linux-Geräten auszuführen und sich Zugang zu verschaffen. Zunächst ermittelt sie per Brute-Force-Angriff unsichere Anmeldeinformationen für Telnet oder SSH und nutzt Standard-Passwörter um Zugriff zu bekommen.

Wenn die Malware erfolgreich auf einem Router oder anderen IoT-Gerät installiert wurde, abgeschlossen sie zunächst einige Prozesse aus einer fest codierten Liste um konkurrierende Botnetze zu deaktivieren. Anschließend bekommt sie Befehle von einem Command-and-Control-Server (C2) um DDoS-Angriffe auszuführen, darunter gängige TCP-, UDP-, SYN- und HTTP-Flooding-Methoden.


Um ihr eigenes Code-Reverse-Engineering zu erschweren, schützt sich V3G4 mit vier verschiedenen XOR-Schlüsseln. Es wird vermutet, dass die Drahtzieher hinter V3G4 ihre DDoS-Dienste womöglich an Kunden verkaufen, dennoch es gibt zu dieser Zeit keine Verbindung zu einem bekannten Angebot.



Erkennung und Schutz vor V3G4


Sicherheitsforscher der Unit 42 von Palo Alto Networks haben zwischen Juli und Dezember 2022 gesamt betrachtet drei Kampagnen entdeckt, bei denen die Angreifer ihre Mirai-Malware verbreiten. Die Forscher haben Gemeinsamkeiten in den im Quellcode von V3G4 hinterlegten C2-Domänen, den XOR-Entschlüsselungsschlüsseln, den Shell-Skript-Downloadern und der Funktionsweise der Botnetz-Clients identifiziert und nehmen folglich an, dass alle drei Kampagnen vom gleichen Angreifer stammen.

Um sich vor einer Infektion mit V3G4 zu schützen, sollten Nutzer ihre Standard-Passwörter anpassen und ihre Geräte mit den neuesten Sicherheitsupdates versorgen. Es ist ebenfalls ratsam, eine Firewall einzurichten und regelmäßig Überprüfungen auf Malware durchzuführen.






Kommentare

Der Angriff auf Router und andere IoT-Geräte durch das Mirai-Botnetz ist ein weiteres Exempel dafür wie wichtig es ist, unsere vernetzten Geräte zu schützen. Die Ausnutzung von Schwachstellen und unsicheren Passwörtern zeigt, dass die Hersteller und Nutzer gleichermaßen in der Verantwortung stehen um sicherzustellen, dass unsere Geräte sicher sind. Es ist relevant, dass wir uns bewusst verbleiben wie wir unsere Geräte schützen können um solche Angriffe zu vermeiden.


Ähnliche News

Neues Botnetz breitet sich über IoT-Geräte aus

Ein frisch entdecktes Botnetz namens IoT_reaper oder IoTroop hat sich laut Experten seit September ausgeprägt verbreitet und soll schon zwei Millionen Geräte infiziert haben. Sicherheitsforscher nennen das neue Netz "IoT_reaper" beziehungsweise "IoTroop".


Mirai-Botnetz erweitert seine Fähigkeiten

 Mirai-Botnetz lernt neue Tricks

Das Mirai-Botnetz hat seine Fähigkeiten erweitert und beherrscht nunmehr DDoS-Angriffe auf dem Application Layer welche schwer zu identifizieren und bekämpfen sind.


BrickerBot - Die Malware, die unsichere IoT-Geräte zerstört

 Malware auf Zerstörungsjagd: BrickerBot legt unsichere IoT-Geräte still

In der Praxis werden unsichere IoT-Geräte oft stillschweigend von Angreifern übernommen und zu Botnetzen für DDoS-Angriffe zusammengestellt. Eine eigenständige Bedrohung verfolgt jedoch einen anderen Weg: BrickerBot zielt darauf ab, Geräte konstant unbrauchbar zu machen.


Erweitertes Zielgebiet: VPNFilter-Malware attackiert nun auch Endgeräte

Die Hintermänner der VPNFilter-Malware weiten ihr Botnetz fortlaufend aus, indem sie Router von verschiedenen Herstellern wie Asus, D-Link und Huawei hacken. Darüber hinaus sind nunmehr ebenfalls Endgeräte gefährdet. Darunter sind Geräte von Asus, D-Link, Huawei, Linksys, Ubiquiti, Upvel und ZTE.



Anzeige