Brickerbot-Botnetz „Thingbot“ zerstört IoT-Geräte permanent

Sicherheitsexperten haben eine neue Bedrohung namens „Brickerbot-Botnetz“ entdeckt, das permanenten Schaden an Internet-of-Things-Geräten verursacht.

Sicherheitsexperten haben eine neue Bedrohung namens „Brickerbot-Botnetz“ entdeckt, das permanenten Schaden an Internet-of-Things-Geräten verursacht.

Bereits vor einigen Monaten hatten wir eine mögliche Erhöhung der Anzahl von IoT-Botnetzen erwartet. Am Anfang war es das Mirai-Botnetz aber später erschienen weitere gefährliche „Thingbots“ wie das Leet-Botnetz und das Amnesia-Botnetz.

Nun tauchte ein neues Botnetz namens „Brickerbot“ in der Bedrohungslandschaft auf. Es wurde von Forschern der Firma Radware entdeckt und besitzt viele Ähnlichkeiten des gefürchteten Mirai-Botnetzes.

Der Hauptunterschied zum Mirai-Botnetz ist, dass diese Bedrohung schlecht konfigurierte IoT-Geräte permanent zerstört. Das Brickerbot-Botnetz wurde am 20 März entdeckt, als Forscher bei Radware einen Angriff gegen einen ihrer „Honeypots“ beobachteten.

„Über einen Zeitraum von vier Tagen verzeichnete Radware’s Honeypot 1.895,00 PDoS-Versuche, die von mehreren Standorten auf der ganzen Welt durchgeführt wurden. Der einzige Zweck dieses Angriffes war es IoT-Geräte zu kompromittieren und deren Speichersystem zu beschädigen“ heißt es in der Analyse veröffentlicht von Radware. „Neben diesem intensiven, kurzlebigen Bot (BrickerBot.1) zeichnete der Honeypot von Radware weitere Versuche von einem Zweiten, jedoch sehr ähnlichem Bot auf (BrickerBot.2). Dieser startete am gleichen Tag ebenfalls PDoS-Versuche jedoch mit geringerer Intensität aber mehr Sorgfalt. Beide Bots wurden in einem Abstand von weniger als einer Stunde voneinander entdeckt obwohl die Standorte durch Tor-Egress-Nodes versteckt wurden.“

Der Honeypot protokollierte 1.895,00 Infizierungsversuche vom Brickerbot-Botnetz in nur vier Tagen. Die meisten Angriffe können zu einem Standort in Argentinien zurückverfolgt werden, wobei 333 Angriffsversuche von einem Tor-Node kamen.

Das Brickerbot-Botnetz nutzt Brute-Force via Telnet aus, um ein IoT-Gerät zu kompromittieren, eine Technik ähnlich wie bei dem Mirai-Botnetz.

Der Brickerbot versucht nicht, eine Binärdatei herunterzuladen, sodass Radware keine vollständige Liste der Zugänge, die für die Brute-Force-Versuche verwendet wurden, abrufen konnte. Forscher konnten lediglich aufzeichnen, dass das erste versuchte Benutzer/Kennwort-Paar ‚root‘/‘vizxv‘ war.

„Bricker versucht nicht, eine Binärdatei herunterzuladen, also hat Radware keine vollständige Liste der Anmeldeinformationen, die für die Brute-Force-Versuche verwendet wurden. Forscher konnten aber aufzeichnen, dass das erste versuchte Benutzer/Kennwort-Paar dauerhaft ‚root‘/‘vizxv‘ war“ sagt der Bericht weiterhin aus.

Der bösartige Code zielt auf Linux-basierte IoT-Geräte mit dem BusyBox-Toolkit ab, da der Telnet-Port des Toolkits öffentlich im Internet erreichbar ist.

Die PDoS-Angriffssignale stammen von einer limitierten Anzahl von IP-Adressen. Die IoT-Geräte setzen den Port 22 (SSH) aus und führen eine ältere Version des Dropbear-SSH-Server aus. Die überwiegende Mehrheit der Geräte wurden von Shodan als Ubiquiti-Netzwerkgeräte identifiziert.

Sobald die Malware das Gerät infiziert hat, beginnt es, den Onboard-Speicher mit rm-rf/* zu verschlüsseln und den TCP-Zeitstempel zu deaktivieren. Es begrenzt auch die maximale Anzahl der Kernel-Threads auf eins.

Die Brickerbot-Malware leert auch alle Firewall- und NAT-Regeln und fügt eine hinzu, die alle ausgehenden Pakete verwirft. Des Weiteren versucht die Malware jeglichen Code auf dem verwundbaren IoT-Gerät zu löschen, sodass es nicht mehr verwendbar ist.

Experten bei Radware lieferten folgende Vorschläge, zum Schutz Ihrer IoT-Geräte:

  • Ändern Sie die werkseitigen Standardanmelidinformationen des Geräts
  • Deaktivieren Sie den Telnet-Zugriff auf das Gerät
  • Netzwerk-Verhaltens-Analysen können Unregelmäßigkeiten im Traffic erkennen und kombiniern mit automatisierten Signaturgenerierungen einen zusätlichen Schutz
  • Benutzer-/Einheits-Verhaltensanalysen (UEBA) um grobe Unregelmäßigkeiten im Traffic früh zu erkennen
  • Ein IPS sollte die Telnet Standard-Zugangsdaten blockieren oder die Telnet-Verbindungen zurücksetzen. Verwenden Sie eine Signatur, um die bereitgesetllten Befehlsfolgen zu erkennen

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini