17.10.2016 16:19

Mirai: DDoS per IoT

In den letzten Wochen wurde mal wieder ein neuer Rekord für den bisher stärksten gemessenen Distributed Denial of Service (DDoS) Angriff aufgestellt. Das ist soweit nicht überraschend, die verfügbare Bandbreite im Internet wächst immer noch stark. Da ist klar, dass damit auch die Angriffsstärke zunehmen kann.

Überraschend war aber, dass der Rekord nicht über einen "reflected DDoS" erreicht wurde. Diese Methode war in den letzten Jahren diejenige, die für die stärksten Angriffe verwendet wurde. Dabei werden die Störpakete nicht direkt vom Botnet des Angreifers an das Opfer geschickt, sondern die Bots fälschen (kleine) Anfragen an legitime (wenn auch oft schlecht konfigurierte) Server, erst die (großen) Antworten gehen in Richtung des Ziels. Diese Schema ist sehr effektiv, da es einerseits die Angriffsbandbreite verstärkt, und andererseits das Botnet des Angreifers nicht exponiert.

Beim Angriff gegen OVH und Krebs on Security wurde hingegen ein Botnet aus infizierten Internet-of-Things (IoT) Geräten (die Malware nennt sich "Mirai") benutzt. Diese haben direkt auf das Ziel geschossen und dabei als Protokoll GRE (Generic Routing Encapsulation) verwendet.

Eine Analyse von Mirai hat ergeben, dass neben der DDoS-Funktionalität auch eine Routine implementiert ist, die für eine Weiterverbreitung von Mirai sorgt. Dazu sucht Mirai nach offenen Telnet-Interfaces (auf Port 23 und 2323) und probiert dort diverse Standardpasswörter von IoT-Geräten. Diese Scanning-Komponente von Mirai zeigt ein spezielles Muster in den IP-Paketen; basierend auf diesem Muster kann man Mirai-Infektionen an deren Scanverhalten erkennen.

CERT.at bekommt von einem Sicherheitsforscher, der einen größeren, freien Netzbereich auf eingehende Scans beobachtet die IP-Adressen aus Österreich, die durch genau solche Scans aufgefallen sind, und hinter denen mit großer Wahrscheinlichkeit Mirai-infiziere Geräte sind.

Achtung: Es geht hier nicht um Windows-PCs, sondern um embedded Linux, wie es in Überwachungskameras, Fernsehern, Satelliten-TV-Empfängern, Routern, Druckern, VoIP-Telefonen, ... zur Anwendung kommt.

Empfehlungen:

Die Mirai-Malware läuft nur im RAM, ein Reboot des Systems ist daher ausreichend, um die Infektion zu entfernen. Am besten macht man das, während das Gerät nicht per Internet erreichbar ist. Eine Re-Infektion per Telnet (Port 23 und 2323) kann durch eine Änderung des Standardpassworts verhindert werden. Erst dann sollte man das System wieder online nehmen.

Standardpasswörter in jeglichen per Netzwerk erreichbaren Geräten sind ein latentes Problem. Sind diese direkt aus dem Internet erreichbar, dann sind sie ein akutes Problem. Wir empfehlen daher dringend, solche Passwörter zu ändern, und zu überdenken, ob die betroffenen IoT-Geräte wirklich mit dem offenen Internet reden müssen.

CERT.at verteilt Informationen zu Mirai-Infektionen an die betroffenen Netzbetreiber. Wir hoffen, damit eine merkbare Reduktion der Infektionen zu erreichen.

Links:

  • Alert des US-CERTs
  • Ars Technica
  • Sierre Wireless Bulletin
  • (Hierbei ist anzumerken, dass Sierra Wireless bei weitem nicht der einzige Hersteller ist, dessen Geräte von Mirai betroffen sind. Ich finde es ausgesprochen positiv von ihnen, dass sie als erster mit einem Advisory an die Öffentlichkeit gegangen sind.)

Autor: Otmar Lendl