Botnetz: Wie Mirai Windows als Sprungbrett nutzt

Eine Windows-Variante von Mirai? Nicht ganz. Tatsächlich wird das Botnetz neuerdings aber auch über verwundbare Windows-Rechner erweitert. Dabei spielen sowohl verwundbare SQL-Server als auch Taylor Swift eine Rolle.

Artikel veröffentlicht am ,
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet.
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet. (Bild: Kaspersky)

Das Mirai-Botnetz sorgt seit dem vergangenen Jahr für Aufregung und Probleme bei Webseitenbetreibern - und soll seit neuestem auch Windows-Rechner befallen. Tatsächlich kursiert seit Januar eine Windows-Variante, die allerdings nicht selbst Angriffe ausführt, sondern nur als Host für die Infektion weiterer Linux-basierter IoT-Geräte dient, wie Kaspersky berichtet.

Stellenmarkt
  1. Project Lead (m/w/d)
    SEITENBAU GmbH, Konstanz, remote
  2. (Senior) Cloud Developer (m/w/d)
    AUSY Technologies Germany AG, verschiedene Standorte
Detailsuche

Der Windows-Bot ist demnach nur dafür verantwortlich, Scans nach verwundbaren Geräten zu starten und diese mit dem Mirai-Schadcode zu infizieren. Dies kann über verschiedene Wege geschehen, etwa über einen Telnet-Bruteforce-Angriff. Ist auf dem infizierten Rechner kein Telnet verfügbar, schreibt Kaspersky, versucht die Software, das entsprechende Programm im Hintergrund herunterzuladen.

Neben der Infektion über Telnet soll die Malware auch in der Lage sein, sich über SSH, Windows Management Instrumentations (WMI), per SQL-Injektion oder über IPC-Instruktionen zu verbreiten. Der Windows-basierte Mirai-Installer soll selbst über ein Botnetz verteilt werden.

Unsichere SQL-Server als Ziel

Nach Angaben von Kaspersky sind vor allem unsicher konfigurierte SQL-Server ein lohnenswertes Ziel für die Malware, da diese häufig zum einen aus dem Internet erreichbar seien, zur gleichen Zeit aber Zugriff auf private Netzwerkressourcen wie IP-Kameras, digitale Videorekorder und Mediencenter-Software hätten.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    20.-24.06.2022, virtuell
Weitere IT-Trainings

Die Mirai-Malware für Windows ist deutlich komplexer entwickelt als die ursprüngliche Software. Offenbar gelang es den Entwicklen, ein gültiges Zertifikat eines chinesischen Unternehmens zu entwenden, um den eigenen Code zu signieren und so Warnungen zu umgehen. Ein weiteres chinesisches Zertifikat im Code soll ungültig sein.

Kaspersky geht wegen der chinesischen Zertifikate, einiger Hinweise auf im Code verwendeter chinesischer Sprache und in Taiwan gehosteter Server davon aus, dass die Malware von chinesischen Autoren entwickelt wurde.

Neben dem Botnetz-Code selbst enthält die Malware offenbar einen Keylogger, der in einem 2.3 Mbyte großen Bild der Sängerin Taylor Swift versteckt ist. Die Keylogging-Software ist dabei keinesfalls neu, sondern stammt aus dem Jahr 2013. Der Schadcode ist in der Jpeg-Datei als Kommentar gehostet.

Das Mirai-Botnetz ist seit dem vergangenen Jahr aktiv und für eine Reihe großer DDoS-Angriffe verantwortlich. Neben dem Blog des Sicherheitsforscher Brian Krebs wurde auch der DNS-Provider Dyn angegriffen, was mehrere Ausfälle bei bekannten Online-Diensten wie Spotify, Twitter und Amazon verursachte. Der Schadcode ist seit längerem öffentlich verfügbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Decentralized Finance: Die Bafin würde gern Defi regulieren
    Decentralized Finance
    Die Bafin würde gern Defi regulieren

    Und das am liebsten EU-weit. 97 Prozent der gestohlenen Kryptowährungen stammen aus Defi-Transaktionen.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /