Mirai erweitert die Verteilung mit einem neuen Trojaner

Originalbeitrag von Giannina Escueta, Technical Communications


Ende letzten Jahres führten einige breitangelegte DDoS-Angriffe über das auf Linux ausgerichtete Mirai-Botnet (ELF_MIRAI) vor, wie anfällig das Ökosystem des Internet of Things ist. Nun gerät die Schadsoftware erneut in die Schlagzeilen, denn es gibt einen neuen Windows-Trojaner, der die Verteilungsfähigkeiten von Mirai drastisch erhöht.

Trend Micro prophezeite für dieses Jahr eine Zunahme von Mirai-artiger Schadsoftware für DDoS-Angriffe – doch dieser neue Trojaner ist darauf ausgerichtet, Mirai selbst zu verteilen. 2015 und 2016 nutzte Mirai vor allem eine Art von Brute-Force-Angriff, und zwar mit Bots, die permanent IP-Adressen anpingen, um mehr mögliche Opfer zu finden. Der jetzt entdeckte Windows Trojaner (BKDR_MIRAI.A) unterstützt die Angreifer dabei, potenzielle Mirai-Opfer zu finden und vervielfacht die Verteilung der Mirai-Bots.

Der Windows-Trojaner verbindet sich mit dem C&C-Server, um die zu scannenden IPs zu finden. Sobald er sich erfolgreich am Zielsystem angemeldet hat, prüft er, welches Betriebssystem auf der Maschine läuft. Ist es Linux, so legt er die Mirai-Schadsoftware ab und erzeugt einen neuen Bot. Ist es Windows, so kopiert er sich selbst auf die Maschine und sucht weiter nach Linux-Zielen. Der Trojaner kann zwei unterschiedliche Payloads ablegen, eine für Linux und eine andere für Windows.

Mirai wurde zuerst im August 2016 gesehen, als die Schadsoftware IoT-Geräte mit Linux anvisierte: Router, digitale Videorekorder, Drucker, CCTV-Kameras und andere. Für die Infizierung dieser Geräte wählt die Malware zufällige IPs und versucht, über Default-Administratoren-Anmeldedaten das Gerät über die Ports 7547 und 5555 (TCP/UDP), 22 (SSH) und 23 (Telnet) zu übernehmen. Nachdem im Oktober der Quellcode öffentlich wurde, stieg die Zahl der Angriffe. Es wurden dabei mehrere Varianten eingesetzt, die große Sites wie Netflix, Reddit, Twitter und AirBnB sowie 900.000 Heim-Router der Deutschen Telekom angriffen.


Bild 1. Port Scanning-Code des Windows-Trojaners

Der Windows-Trojaner zielt auf mehrere Ports als das ursprüngliche Linux Mirai: 22 (SSH), 23 (Telnet), 135 (DCE/RPC), 445 (Active Directory), 1433 (MSSQL), 3306 (MySQL) und 3389 (RDP). Diese Ports werden üblicherweise aus mehreren Gründen offen gehalten – Erstellen verteilter Software, Datei-Sharing und Remote Geräteadministration.

Aufgrund der anvisierten Ports lässt sich auch sehen, dass der Trojaner versucht, Hostsoftware wie MySQL und Microsoft SQL Serverdatenbanken zu identifizieren. Gelingt dies, so versucht der Trojaner einen neuen Nutzer mit administrativen Rechten zu erzeugen. Vor allem, wenn er den MS SQL-Server erkennt, erstellt er einen Datenbank-Nutzer “Mssqla” mit Sysadmin-Rechten. Mit einem solchen Zugang könnte ein böswilliger Nutzer die Konfigurationsoptionen Server-weit ändern und den Server herunterfahren, Anmeldungen und deren Merkmale ändern, laufende Prozesse stoppen, ein BULK INSERT-Statement ausführen und auch jede Datenbank ändern, fallen lassen oder wiederherstellen.

Der Windows-Trojaner ist auf die Verteilung von Mirai zugeschnitten, doch hat er auch das Potenzial sich weiter zu entwickeln. So könnte er dann auch andere Schadsoftware verteilen und die Aktivitäten von Mirai ausweiten.

Auch könnte die Malware dafür verwendet werden, um IoT-Geräte, die in demselben Netzwerk wie das infizierte Opfer sind, zu kompromittieren. Die IP-Adressierung von Heimnetzwerken ist üblicherweise sehr vorhersehbar – die meisten Heim-Router nutzen den 192.168.x.x IP-Raum. Da der Trojaner die IP-Adressen vom zentralen C&C-Server erhält, könnte der Server das vom Trojaner befallene Gerät anweisen, den lokalen IP-Raum zu scannen und alle verbundenen IoT-Geräte mit Standard-Passwort zu kompromittieren.

Trend Micro Security 10 und Trend Micro Internet Security bieten einen effizienten Schutz vor dieser Bedrohung, denn die Sicherheitsfähigkeiten können Schadsoftware auf der Endpoint-Ebene erkennen. Um IoT-Geräte wie Heim-Router zu schützen, prüfen Lösungen wie Trend MicroTM Home Network Security den Internetverkehr zwischen Router und allen verbundenen Geräten. Unternehmen können die Netzwerk-Appliance Trend Micro Deep Discovery Inspector einsetzen, denn diese bietet Monitoring aller Ports und von mehr als 105 Netzwerkprotokollen, um gezielte Angriffe und ausgefeilte Bedrohungen zu erkennen.

Die BKDR_MIRAI.A-Samples hatten folgende SHA1 Hashes:

  • 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e
  • F97E8145E1E818F17779A8B136370C24DA67A6A5
  • 9575D5EDB955E8E57D5886E1CF93F54F52912238
  • 938715263e1e24f3e3d82d72b4e1d2b60ab187b8

TippingPoint-Kunden sind vor dieser Sicherheitslücke über den folgenden MainlineDV-Filter geschützt:

  • 27134: HTTP: BKDR_MIRAI.A Checkin

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*