Die Bedrohung durch P2P IoT Botnets

 

Originalbeitrag von Mayra Rosario Fuentes, Stephen Hilt, Robert McArdle, Fernando Merces, David Sancho, Threat Researchers

Das Internet of Things (IoT) hat eine neue Domäne im Konkurrenzkampf der Botnet-Entwickler um Geräte geschaffen. Die Opfer wiederum haben mit hartnäckigen Infektionen zu kämpfen, und die Einbindung einer bekannten Filesharing-Technologie, dem Peer-to-Peer-Netzwerk (P2P), kann die Sache noch komplizierter machen.

Ein typisches IoT-Botnet besteht aus zahlreichen infizierten Geräten (Bots), die mit einem Command-and-Control-Server (C&C) verbunden sind, von dem aus Cyberkriminelle das gesamte Botnet steuern. Das bedeutet aber auch, dass das Ausschalten des C&C-Servers das Botnet außer Gefecht setzt, unabhängig davon, aus wie vielen Geräten es sich zusammensetzt. Die Einführung von P2P-Netzwerken in IoT-Botnets verhindert diese Lösung.

Networking über P2P ermöglicht es Computern nämlich, sich miteinander zu verbinden, ohne dass ein zentraler Server erforderlich ist. In der Praxis bedeutet dies, dass die Verteidiger jedes einzelne infizierte Gerät säubern müssten, um ein P2P-IoT-Botnet auszuschalten – eine viel mühsamere und fast unmögliche Aufgabe, da die besten Botnets dafür bekannt sind, Tausende von Geräten zu verwenden.

In einem Technical Brief haben wir fünf P2P IoT Botnet Malware-Familien unter die Lupe genommen, die in der Vergangenheit eingesetzt wurden. Auch werden die Auswirkungen von P2P-IoT-Botnets diskutiert und die Richtung, die Cyberkriminelle mit dieser Bedrohung weiter einschlagen könnten.

Auswirkungen und Zukunft

Es mag verwundern, dass es nur fünf P2P IoT Botnet Malware-Familien gibt, wenn sie doch eine so wirkungsvolle Möglichkeit bieten, ein Botnet langfristig am Leben zu erhalten. Finanzieller Profit ist der Schlüssel, um den weiteren Werdegang von P2P-IoT-Botnets vorherzusagen. Cyberkriminelle müssen einen Weg finden, mit ihren Bemühungen, weiterhin komplexere Botnets zu entwickeln und zu implementieren, Geld zu verdienen. Basierend auf den heutigen IoT-Botnets ist die gängige Art und Weise, wie diese Bedrohung monetarisiert wird, die Einbeziehung von Angriffen Dritter – in Form von DDoS-Angriffen (Distributed Denial-of-Service) – und VPN-Diensten.

P2P IoT Botnets werden sich nur dann weit verbreiten, wenn sich Cyberkriminellen damit eine noch bessere Möglichkeit bietet, mit den infizierten Routern Geld zu verdienen. Vermutlich werden die Kriminellen ihr Augenmerk darauf richten, mit dem Netzwerk des infizierten Routers Profit einzufahren, anstatt den Router als reines Gerät mit Internetanschluss zu nutzen.

Infizieren von Routern für andere Angriffe

Das Hauptziel von IoT Botnets sind Heimrouter. Was diese zu einem lohnenden Ziel macht, ist ihre Position als Einfallstor in Heimnetzwerke. Ein infizierter Router könnte es Cyberkriminellen ermöglichen, schädlichere Aktivitäten durchzuführen, wie z. B. Man-in-the-Middle-Angriffe (MitM) und Informationsdiebstahl oder auch bösartige Elemente in den Rückverkehr einzuschleusen.

Konzentrieren sich die Täter auf die Unterwanderung des Datenverkehrs des infizierten Routers, so stehen ihnen endlose Möglichkeiten offen. Über einen infizierten Router lässt sich JavaScript-basiertes Kryptowährungs-Mining oder Klick-Betrug betreiben, indem die Akteure Webseiten so verändern, dass sie die notwendigen Elemente für beide Methoden enthalten. Darüber hinaus könnten Täter die Desktop-Infektionen und die gestohlenen Informationen einfach verkaufen.

Der Router lässt sich beispielsweise auch als Ausgangspunkt für laterale Bewegung zu anderen unsicheren Geräten im Netzwerk einsetzen. So müssten Angreifer den Datenverkehr nicht abfangen, um eine laterale Bewegung durchzuführen, und sich mit der TLS-Verschlüsselung (Transport Layer Security) auseinandersetzen. Dieses Schema entspricht in etwa modernen Ransomware-Ansätzen oder Advanced Persistent Threat (APT)-Eindringlingen.

Über laterale Bewegungen entfällt die Wahl zwischen der Infizierung eines Routers und der Infizierung eines einzelnen Computers. Ein kompromittierter Router könnte es ermöglichen, andere schwach gesicherte Geräte im Netzwerk, einschließlich Computer, zu übernehmen.

Wie realistisch sind diese Szenarien?

Diese Szenarien sind zwar schwierig zu realisieren, dennoch sind sie möglich. Botnet-Malware müsste den von internen Netzwerken kommenden Datenverkehr abfangen und beliebige Elemente in jede zurückgegebene Webseite einfügen. Aus technischer Sicht erfordert dies die Manipulation des Protokoll-Stacks eines Routers, was zwar knifflig, aber machbar ist. Kriminelle könnten sich auch die Webseiten-Protokolle ansehen, die von den Benutzern aufgerufen werden, um an wertvolle Informationen zu gelangen, was einfacher zu bewerkstelligen ist, als den Protokoll-Stack eines Routers zu manipulieren.

Zukunft der IoT Botnets

Diese Szenarien für P2P-Netzwerke bauen auf früheren Forschungsprojekten zum Thema auf. Das Whitepaper „Worm Wars: The Botnet Battle for IoT Territory“ ist das Ergebnis der Analyse der Codebasis, auf der die meisten heutigen IoT Botnet Malware-Familien beruhen. Die Sicherheitsforscher zeigten darin auch auf, wie aktive Botnet-Entwickler miteinander um unsichere Geräte konkurrieren. Bereits diese früheren Untersuchungen machen die Herausforderungen durch IoT Botnets deutlich, und P2P IoT-Botnets verstärken diese noch, weil sie die Möglichkeit eines nicht deaktivierbaren Botnets eröffnen.

Obwohl sich die meisten dieser Angriffe auf Heimrouter oder Haushaltsgeräte konzentrieren, sollten Unternehmen die Relevanz für ihre eigene Sicherheit nicht außer Acht lassen. Heutzutage, wo Remote-Arbeit die Norm ist, ist es viel schwieriger geworden, die Grenze zwischen Heimnetzwerken und Unternehmensnetzwerken zu ziehen, und damit auch zwischen Angriffen auf Verbraucher und solchen auf Unternehmen. Angreifer könnten die oft weniger sicheren Heimnetzwerke und Router ins Visier zu nehmen, um höhere, wertvollere Ziele zu erreichen.

Die oben genannten Zukunftsszenarien werden vielleicht nicht genau so eintreten, sicher ist jedoch, dass P2P-IoT-Botnets bereits da sind und eine echte Gefahr für Unternehmen und Privatanwender gleichermaßen darstellen. Alle müssen ihre Denkweise dahingehend ändern, dass der Schutz ihrer Router genauso wichtig ist wie der Schutz ihrer Desktop- und Laptop-Computer.

Was sollten Unternehmen und Privatanwender kurzfristig tun? Wie können sie verhindern, dass ihre Router infiziert werden? Sie können mit diesen Schritten beginnen:

  • Verwalten von Schwachstellen und schnellstmögliches Aufspielen von Patches. Das Einspielen von Patches, sobald sie veröffentlicht werden, kann die Chancen für potenzielle Exploits einschränken.
  • Sichere Konfigurationen anwenden. Benutzer müssen sicherstellen, dass sie die sicherste Konfiguration für ihre Geräte verwenden, um die Möglichkeiten für eine Kompromittierung einzuschränken.
  • Starke, schwer zu erratende Passwörter verwenden. Benutzer können Brute-Force-Taktiken umgehen, indem sie Standardkennwörter ändern und starke Passwörter verwenden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.