Versteckte Identitäten: Mirai C&Cs im Tor-Netzwerk

Originalbeitrag von Makoto Shimamura, Cyber Threat Research Team


Mirai ist dafür berüchtigt, eine der aktivsten Schadsoftware-Familien bezüglich des IoTs zu sein, und Systemadministratoren sind besonders wachsam, wenn es um den Schutz ihrer Systeme und Geräte vor dieser Bedrohung geht. Dennoch gelingt es Cyberkriminellen immer wieder, die Malware weiterzuentwickeln und einzusetzen. Es ist noch keinen Monat her, seitdem die Sicherheitsforscher von Trend Micro eine neue Miori-Variante entdeckten, und nun gibt es schon wieder ein neues Mirai Sample. Auch dieses ermöglicht den Remote-Zugriff und die Kontrollübernahme via exponierte Ports und Standard-Login-Infos über IoT-Geräte wie IP-Kameras und DVRs. Angreifer können die infizierten Geräte für Distributed Denial of Service (DDoS)-Angriffe nutzen. Der Unterschied zu früheren Varianten besteht darin, dass die Kriminellen den C&C-Server ins Tor-Netzwerk stellen, um ihre Anonymität zu wahren.

Mirai-Varianten besitzen typischerweise einen bis vier C&C-Server, doch das Sample umfasste 30 hartcodierte IP-Adressen. Die Analyse der Kommunikation mit den Servern ergab, dass diese im Tor-Netzwerk positioniert waren. Details dazu umfasst der Originalbeitrag.

Das analysierte Sample scannt nach beliebigen IP-Adressen mit TCP Ports 9527 und 34567, die möglicherweise spezifisch sind für exponierte IP-Kameras und DVRs für den Remote-Zugriff. Auch könnte deren Konfiguration Standard-Login-Infos beinhalten, die für die Kompromittierung anderer Hosts genutzt werden.

Bei der Suche nach verwandten Samples und Informationen zum Vergleich fanden die Forscher in anderen offene Quellen wie VirusTotal einem Bericht zu demselben Hash-Wert aus derselben URL-Quelle. Es handelte sich um ein offenes Verzeichnis, das auch andere Samples für andere Gerätearchitekturen enthielt. Weitere Details aus dem Bericht zeigten auch einen anderen Distributionsserver.

Fazit

Das aktuelle Sample ist deshalb interessant, weil die Angreifer die C&C-Server in das Tor-Netzwerk gesetzt haben, um dadurch das Tracking deren IP-Adressen zu verhindern. Das erinnert an die Malware BrickerBot, die Mirai-ähnliche Techniken beinhaltete und 2017 in Tor gehostet wurde. Es handelte sich um die ersten Instanzen eines permanenten Denial of Service (PDoS), um eine Infizierung von IoT-Geräten durch Mirai zu verhindern. Der Angriff stoppte, nachdem mehr als 10 Millionen Geräte beschädigt waren.

Möglicherweise werden künftig auch weitere IoT-Malware-Familien Tor für das Verbergen von C&C einsetzen. Dort bleiben die Server anonym und damit auch die Malware-Autoren und/oder C&C-Besitzer. Ebenso läuft der Server trotz Erkennung weiter, der Netzwerkverkehr kann sich als legitim ausgeben und bleibt verschlüsselt, und er wird nicht notwendigerweise aufgrund anderer möglicher legitimer Anwendungen für Tor auf die schwarze Liste gesetzt.

Das Vorhandensein eines weiteren Distributionsservers und anderer Samples, die für andere Gerätearchitekturen entwickelt wurden, bedeutet möglicherweise, dass diese bösartigen Akteure beabsichtigen, diese Vorgehensweise in größerem Umfang anzuwenden. Erkennungssysteme mit signatur- und verhaltensbasierten Mechanismen können diese Einbrüche jedoch immer noch erkennen und blockieren.

Für Anwender und Unternehmen empfiehlt es sich, ihre Netzwerksysteme und -geräte mit den neuesten Patches zu aktualisieren, Standard-Anmeldeinformationen mit komplexen Passwörtern zu ändern und Mehrfach-Authentifizierungssysteme anzuwenden, um unbefugten Zugriff zu verhindern. Schließlich sollte die Verbindung zu unsicheren Netzwerken außerhalb vertrauenswürdiger Perimeter vermieden werden, um die Wahrscheinlichkeit eines Eindringens über offene und öffentlich zugängliche Netzwerke zu begrenzen.

Trend Micro-Lösungen

Trend Micro Smart Home Network bietet eine Embedded-Netzwerksicherheitslösung, die alle vernetzten Geräte in einem Home-Netzwerk vor Cyberangriffen schützt. Sie beruht auf der führenden Deep Packet Inspection (DPI)-Technologie von Trend Micro und stellt intelligentes Quality of Service (iQoS), Kindersicherung sowie Netzwerksicherheit und vieles mehr zur Verfügung.

Trend Micro™ Deep Discovery™ bietet Erkennung, tiefgehende Analyse und proaktive Reaktionen auf Angriffe mit Exploits und ähnlichen Bedrohungen. Dafür setzt die Lösung spezielle Engines, nutzerkonfiguriertes Sanboxing und eine nahtlose Korrelation-über den gesamten Lebenszyklus des Angriffs ein. Unterstützt wird sie durch Trend Micro XGen™ Security mit einer generationsübergreifenden Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Der Originalbeitrag beinhaltet die Indicators of Compromise sowie relevante URLs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.