Variante des Mirai-Botnetzes verwendet, um 54 stündigen DDoS-Anriff durchzuführen

Laut Sicherheitsexperten der Firma Imperva wurde eine neu entdeckte Variante des gefürchteten Mirai-Botnetzes verwendet, um einen 54 stündigen Distributed-Denial-Of-Service-Angriff (DDoS) durchzuführen.

Laut Sicherheitsexperten der Firma Imperva wurde eine neu entdeckte Variante des gefürchteten Mirai-Botnetzes verwendet, um einen 54 stündigen Distributed-Denial-Of-Service-Angriff (DDoS) durchzuführen.

Die neue Variante des Mirai-Botnetzes wurde entdeckt, als ein Kunde der Firma, eine US-Hochschule, angegriffen wurde. Der DDoS-Angriff erreichte seinen Höchststand bei ca. 37.000 RPS. Die Experten betonten, dass dies der größte Angriff eines Mirai-Botnetzes war, der jemals bekannt wurde.

„Der Angriff, welcher am 28 Februar anfing und für 54 Stunden andauerte, zielte auf einen unserer Kunden, eine US Hochschule, ab“ heißt es in einem Blog-Beitrag veröffentlicht von Incapsula.

„Der durchschnittliche Traffic-Fluss fing bei über 30.000 RPS an und erreichte einen Höchststand von 37.000 RPS – das höchste, was wir von einem Mirai-Botnetz je gesehen haben. Insgesamt erzeugte der Angriff über 2.8 Milliarden Anfragen“.

Die Mirai-Malware wurde im August 2016 von dem Forscher MalwareMustDie entdeckt. Es wurde speziell entwickelt, um IoT-Geräte anzugreifen.

Die Malware infizierte tausende von Routern und IoT-Geräten, inklusive DVRs und CCTV-Systemen. Wenn der Mirai-Bot ein Gerät infiziert, wählt er zufällige IP-Adressen und versucht sich via Telnet- und SSH-Ports mit einer Liste von Admin-Zugängen einzuloggen.

Das Mirai-Botnetz wurde im vergangen Jahr für zwei große Angriffe gegen die Webseite des beliebten Ermittlers Brian Krebs und den Dyn-DNS-Dienst verwendet. Im Oktober ist die Quelle des Mirai-Botnetzes im Internet durchgesickert und neue Varianten wurden in der Öffentlichkeit entdeckt.

Ein Hinweis zum bösartigen Code wurde von Brian Krebs auf dem kriminellen Hackerforum ‚Hackforum‘ entdeckt. Der Hackerforum-Benutzer mit dem Spitznamen „Anna-senpai“ teilte den Link zum Quellcode der „Mirai-“ Malware.

Im Januar 2017 entdeckten Experten eine neue Windows-Variation von Mirai, welche angeblich verwendet wurde, um den Linux-Trojaner auf mehr IoT-Geräten zu verbreiten.

Die Experten von Impervas vermuten, dass der Angriff von einer Variante durchgeführt wurde, die aus dem durchgesickerten Quellcode entwickelt wurde. Vorgängerversionen des Mirai-Botnetzes steuerten die Netzwerkschicht bei DDoS-Angriffen an, die neue Variante dagegen führte einen Angriff auf die Anwendungsschicht durch.

Die Experten stellten fest, dass das Botnetz, welches für den Angriff verwendet wurde, hauptsächlich aus CCTV-Kameras, DVRs und Routern bestand. Die Forscher spekulieren, dass die IoT-Geräte durch die  Ausnutzung bekannter Schwachstellen kompromittiert wurden, und so das Botnetz die offenen Telnet- (23) und TR-069- (7547) Ports ausnutzte.

„Gemäß einigen bekannten Faktoren, inklusive Header-Reihenfolge, Header-Wert und Quelle des Traffics hat unser Client-Klassifizierungssystem sofort identifiziert, dass der Angriff von einem Mirai-Botnetz stammt“ heißt es weiter im Blog-Beitrag von Imperva.

Die DDoS-Bots, die im Angriff verwendet wurden, verwendeten unterschiedliche Benutzer-Agenten statt den zuvor in der Standard Mirai-Version gesehenen. Dieses technische Detail deutet darauf hin, dass die neue Variante des Mirai-Botnetzes verbessert wurde, um weitere anspruchsvolle Angriffe auf die Anwendungsschicht durchführen zu können.

„Insgesamt haben wir im gesamten Verlauf des Angriffes die folgenden 30 Benutzer-Agenten-Varianten entdeckt“ so der Beitrag weiter.

Die Analyse des Traffics, basierend auf 9.793 IP-Adressen weltweit, ergab, dass mehr als 70% der Geräte aus den folgenden Ländern stammen: Vereinigte Staaten (18,4%) Israel (11,3%) Taiwan (10,8%) Indien (8,7%) Türkei (6%) Russland (3,8%) Italien (3,2%) Mexiko (3,2%) Kolumbien (3,0%) Bulgarien (2,2%).

„Weniger als ein Tag nachdem der ursprüngliche Angriff beendet war, fing ein weiterer Angriff an. Dieser dauerte eineinhalb Stunden an und besaß einen durchschnittlichen Traffic-Fluss von 15.000,00 RPS. Basierend auf unseren Erfahrungen, erwarten wir mehrere Ausbrüche, bis die Täter endlich Ihre Bemühungen aufgeben“ mit diesem Satz Endet der Blog-Beitrag von Imperva.

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini