Abo
  • Services:

Botnetz: Wie Mirai Windows als Sprungbrett nutzt

Eine Windows-Variante von Mirai? Nicht ganz. Tatsächlich wird das Botnetz neuerdings aber auch über verwundbare Windows-Rechner erweitert. Dabei spielen sowohl verwundbare SQL-Server als auch Taylor Swift eine Rolle.

Artikel veröffentlicht am ,
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet.
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet. (Bild: Kaspersky)

Das Mirai-Botnetz sorgt seit dem vergangenen Jahr für Aufregung und Probleme bei Webseitenbetreibern - und soll seit neuestem auch Windows-Rechner befallen. Tatsächlich kursiert seit Januar eine Windows-Variante, die allerdings nicht selbst Angriffe ausführt, sondern nur als Host für die Infektion weiterer Linux-basierter IoT-Geräte dient, wie Kaspersky berichtet.

Stellenmarkt
  1. we are digital GmbH, Raum München (Home-Office)
  2. TDM Systems GmbH, Tübingen

Der Windows-Bot ist demnach nur dafür verantwortlich, Scans nach verwundbaren Geräten zu starten und diese mit dem Mirai-Schadcode zu infizieren. Dies kann über verschiedene Wege geschehen, etwa über einen Telnet-Bruteforce-Angriff. Ist auf dem infizierten Rechner kein Telnet verfügbar, schreibt Kaspersky, versucht die Software, das entsprechende Programm im Hintergrund herunterzuladen.

Neben der Infektion über Telnet soll die Malware auch in der Lage sein, sich über SSH, Windows Management Instrumentations (WMI), per SQL-Injektion oder über IPC-Instruktionen zu verbreiten. Der Windows-basierte Mirai-Installer soll selbst über ein Botnetz verteilt werden.

Unsichere SQL-Server als Ziel

Nach Angaben von Kaspersky sind vor allem unsicher konfigurierte SQL-Server ein lohnenswertes Ziel für die Malware, da diese häufig zum einen aus dem Internet erreichbar seien, zur gleichen Zeit aber Zugriff auf private Netzwerkressourcen wie IP-Kameras, digitale Videorekorder und Mediencenter-Software hätten.

Die Mirai-Malware für Windows ist deutlich komplexer entwickelt als die ursprüngliche Software. Offenbar gelang es den Entwicklen, ein gültiges Zertifikat eines chinesischen Unternehmens zu entwenden, um den eigenen Code zu signieren und so Warnungen zu umgehen. Ein weiteres chinesisches Zertifikat im Code soll ungültig sein.

Kaspersky geht wegen der chinesischen Zertifikate, einiger Hinweise auf im Code verwendeter chinesischer Sprache und in Taiwan gehosteter Server davon aus, dass die Malware von chinesischen Autoren entwickelt wurde.

Neben dem Botnetz-Code selbst enthält die Malware offenbar einen Keylogger, der in einem 2.3 Mbyte großen Bild der Sängerin Taylor Swift versteckt ist. Die Keylogging-Software ist dabei keinesfalls neu, sondern stammt aus dem Jahr 2013. Der Schadcode ist in der Jpeg-Datei als Kommentar gehostet.

Das Mirai-Botnetz ist seit dem vergangenen Jahr aktiv und für eine Reihe großer DDoS-Angriffe verantwortlich. Neben dem Blog des Sicherheitsforscher Brian Krebs wurde auch der DNS-Provider Dyn angegriffen, was mehrere Ausfälle bei bekannten Online-Diensten wie Spotify, Twitter und Amazon verursachte. Der Schadcode ist seit längerem öffentlich verfügbar.



Anzeige
Hardware-Angebote
  1. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  2. ab 399€

Folgen Sie uns
       


iOS 12 angesehen

Das neue iOS 12 bietet Nutzern die Möglichkeit, die Bildschirmzeit besser kontrollieren und einteilen zu können. Auch Siri könnte durch die Kurzbefehle interessanter als bisher werden.

iOS 12 angesehen Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /