IoT-Geräte - Lieblingsziel von DDoS-Angriffen

Ursprünglicher Autor: Symanthec Blog
  • Übersetzung

Viren parasitieren auf einer wachsenden Anzahl von IoT-Geräten, während ihre Besitzer dies möglicherweise gar nicht bemerken. Die Anzahl der Viren, die auf das Internet der Dinge (Internet of Things, IoT) abzielen, hat im vergangenen Jahr um ein Vielfaches zugenommen. Im Jahr 2015 wurde eine Rekordzahl von Angriffen verzeichnet, wobei 8 neue Virusfamilien registriert wurden. Mehr als die Hälfte aller Angriffe gehen auf China und die USA zurück, aber auch die Zahl der Angriffe aus Russland, Deutschland, den Niederlanden, der Ukraine und Vietnam nimmt stetig zu. Aufgrund der geringen Sicherheit vieler IoT-Geräte sind sie ein einfaches Ziel, und Gerätebesitzer sind sich ihrer Infektion häufig nicht bewusst.

Erst in diesem Monat wurde bekannt, dass ein großer DDoS - Angriff von drei verschiedenen Arten von Botnetzen ( Botnets) aus gestartet wurdeVideoüberwachung, Heimrouter und infizierte Webserver ). Prognosen zufolge wird die Anzahl solcher Angriffe mit Internet-of-Things-Geräten stetig zunehmen.

Abbildung 1. Neue Schwachstellenfamilien. Im Jahr 2015 hat die Anzahl der Bedrohungen für IoT-Geräte um ein Vielfaches zugenommen, und 2016 sind viele Sicherheitslücken weiterhin aktiv.

Angriffe auf IoT-Geräte werden seit langem prognostiziert. Meistens handelte es sich dabei um Geräte für die Heimautomation und um die Sicherheit zu Hause. Die Politik der Angreifer hat heute eine andere Form angenommen: In der Regel interessieren sie sich nicht mehr so ​​für das „Opfer“, sondern wollen das Gerät ergreifen, um es dem Botnetz hinzuzufügen, das  zumeist für DDoS-Angriffe verwendet wird .

Am meisten gefährdete Geräte


Am häufigsten greifen Eindringlinge eingebettete Geräte an. Viele von ihnen können eine Verbindung zum Internet herstellen, enthalten jedoch  aufgrund der Einschränkungen des Betriebssystems und der Datenverarbeitungsleistung normalerweise keine zusätzlichen Sicherheitsfunktionen.

Eingebettete Geräte werden häufig einmal an das Stromnetz angeschlossen, durchlaufen einen einfachen Installationsvorgang und vergessen diese dann. Für solche Geräte nicht getan kein Firmware - Updates, da sie erst am Ende ihres Lebenszyklus zu ersetzen sind. Infolgedessen bleibt jeder Kompromiss oder jede Virusinfektion für den Besitzer unbemerkt. Dies ist ein süßer Köder für Angreifer.

China und die USA sind die Heimat der meisten Angriffe


Eine Analyse von Symantec, bei der viele Beispiele von Malware gesammelt wurden, ergab, dass die meisten Angriffe in China stattfanden, auf die 2016 34% aller Angriffe entfielen. 26% der Angriffe kommen aus den USA, gefolgt von Russland (9%), Deutschland (6%), den Niederlanden (5%) und der Ukraine (5%). Vietnam, Großbritannien, Frankreich und Südkorea schließen die Top Ten ab.

Die Zahlen in der Abbildung geben den Speicherort der IP-Adresse an, mit der böswillige Angriffe gestartet wurden. In einigen Fällen können die verwendeten IP-Adressen Proxys sein, die zum Verbergen des tatsächlichen Standorts verwendet werden. Die häufigsten Bedrohungen sind Linux. Kaiten. B und Linux. Lightaidra.

Abbildung 2. Top-10- Herkunftsländer Angriffe im Jahr 2016 (durch die Anzahl der eindeutigen Adressen)

TOP Passwörter


Die Analyse ergab auch, welche Kennwörter von Malware am häufigsten zur Eingabe von Geräten verwendet werden. Es überrascht nicht, dass die Kombination aus "root" und "admin" zeigt, dass die Standardkennwörter häufig nicht geändert werden.
TOP BenutzernamenTOP Passwörter
rootadmin
adminroot
Dup root123456
ubnt12345
zugangubnt
DUP adminPasswort
Test1234
OrakelTest
postgresQWERTY
piHimbeere
Tabelle 1. Die 10 häufigsten Anmeldungen und Kennwörter, die bei Angriffen auf IoT-Geräte verwendet werden

Die häufigsten Bedrohungen


Während Malware für IoT-Geräte immer ausgefeilter wird, können wir durch die Tatsache, dass sie hauptsächlich für DDoS-Angriffe verwendet werden , einige gemeinsame Merkmale hervorheben, die in der Vielzahl vorhandener Malware zu finden sind.

Je weiter das Virus verbreitet ist, desto direkter sind die Angreifer. Während einige Malware-Programme manuell auf dem Gerät installiert werden müssen, besteht die häufigste Methode darin, zufällige IP-Adressen mit offenen Telnet- oder SSH-Ports zu scannen und anschließend Anmeldeversuche mit häufig verwendeten Anmeldeinformationen durchzuführen.

WegenBei verschiedenen Architekturen der Prozessoren, auf denen die eingebetteten Geräte ausgeführt werden, versuchen böswillige Programme möglicherweise, die ausführbaren Bot-Dateien für mehrere Architekturen nach dem Zufallsprinzip herunterzuladen und einzeln auszuführen, bis das Schema erfolgreich ist. In anderen Fällen kann die Malware auch ein Modul enthalten, das die Plattform eines vorhandenen Geräts überprüft und die richtigen Bot-Dateien herunterlädt.

Die übliche Taktik besteht darin, wget oder den TFTP-Befehl zum Laden des Skripts (.sh) zu verwenden, wodurch wiederum die Bot-Dateien heruntergeladen werden. In einem Fall wurde ein Shell-Skript verwendet, bei dem Straßendrogennamen verwendet wurden, um die Bot-Binärdateien für verschiedene Architekturen zu unterscheiden.

Abb. 3. Shell-Skript zum Laden von BinärdateienBot-Dateien für verschiedene Architekturen

Bei der Ausführung von Bot-Dateien wird eine Verbindung zum C & C-Server hergestellt, in Erwartung der Befehle eines Remote- Master-Bot . Die Kommunikation kann über einen IRC-Kanal hergestellt werden , und Malware kann auch Funktionen zum Verschlüsseln des Datenverkehrs zu einem Remoteserver enthalten.

Plattformübergreifende Schwachstellen


Das Cross-Compilieren verschiedener Architekturen ist eine weit verbreitete Tatsache. Während die häufigsten Ziele x86-, ARM-, MIPS- und MIPSEL-Plattformen sind, erweitern Angreifer weiterhin die Anzahl potenzieller Ziele und erstellen Optionen für PowerPC, SuperH und SPARC. Die Liste der potenziell anfälligen Geräte wächst, und es werden immer mehr Webserver , Router, Modems, Netzwerkspeichergeräte, Videoüberwachungssysteme und andere Geräte hinzugefügt .

Ein interessantes Merkmal: Viele bösartige Programme können andere Prozesse, insbesondere Prozesse, die zu anderen Viren gehören, abbrechen. In einigen älteren Versionen wurde diese Funktion nur verwendet, um potenzielle Konkurrenten von einem infizierten Gerät auszuschließen. Der häufigste Grund dafür ist, dass eingebettete Geräte nur über sehr begrenzte Systemressourcen verfügen und ein Schadprogramm versucht, den Prozessor von „unnötigen“ Vorgängen zu befreien.

Um dasselbe Ziel zu erreichen, kann Malware auf der Grundlage eines ausgefeilteren Ansatzes auch die IP-Tabellenregeln auf einem infizierten Gerät so ändern, dass nur bestimmte Arten des externen Zugriffs möglich sind. Solche Änderungen können den Zugriff auf das Gerät für andere Eindringlinge sowie die Aktionen von Administratoren (Blockieren des Telnet-Ports) blockieren.

DDoS-Angriffe bleiben das Hauptziel von Viren, die auf IoT-Geräte abzielen. Mit dem rasanten Wachstum des Internets der Dinge kann eine Erhöhung der Rechenleistung von Geräten in Zukunft zu taktischen Änderungen führen, und Angreifer werden neue Möglichkeiten für Kryptowährungs-Mining, Informationsdiebstahl und Netzwerkspionage haben.


Jetzt auch beliebt: