Abo
  • IT-Karriere:

Botnetz: Wie Mirai Windows als Sprungbrett nutzt

Eine Windows-Variante von Mirai? Nicht ganz. Tatsächlich wird das Botnetz neuerdings aber auch über verwundbare Windows-Rechner erweitert. Dabei spielen sowohl verwundbare SQL-Server als auch Taylor Swift eine Rolle.

Artikel veröffentlicht am ,
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet.
Der mit dem Trojaner ausgelieferte Keylogger wird über ein Taylor-Swift-Bild verbreitet. (Bild: Kaspersky)

Das Mirai-Botnetz sorgt seit dem vergangenen Jahr für Aufregung und Probleme bei Webseitenbetreibern - und soll seit neuestem auch Windows-Rechner befallen. Tatsächlich kursiert seit Januar eine Windows-Variante, die allerdings nicht selbst Angriffe ausführt, sondern nur als Host für die Infektion weiterer Linux-basierter IoT-Geräte dient, wie Kaspersky berichtet.

Stellenmarkt
  1. Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München, München
  2. Fresenius Medical Care Deutschland GmbH, Bad Homburg

Der Windows-Bot ist demnach nur dafür verantwortlich, Scans nach verwundbaren Geräten zu starten und diese mit dem Mirai-Schadcode zu infizieren. Dies kann über verschiedene Wege geschehen, etwa über einen Telnet-Bruteforce-Angriff. Ist auf dem infizierten Rechner kein Telnet verfügbar, schreibt Kaspersky, versucht die Software, das entsprechende Programm im Hintergrund herunterzuladen.

Neben der Infektion über Telnet soll die Malware auch in der Lage sein, sich über SSH, Windows Management Instrumentations (WMI), per SQL-Injektion oder über IPC-Instruktionen zu verbreiten. Der Windows-basierte Mirai-Installer soll selbst über ein Botnetz verteilt werden.

Unsichere SQL-Server als Ziel

Nach Angaben von Kaspersky sind vor allem unsicher konfigurierte SQL-Server ein lohnenswertes Ziel für die Malware, da diese häufig zum einen aus dem Internet erreichbar seien, zur gleichen Zeit aber Zugriff auf private Netzwerkressourcen wie IP-Kameras, digitale Videorekorder und Mediencenter-Software hätten.

Die Mirai-Malware für Windows ist deutlich komplexer entwickelt als die ursprüngliche Software. Offenbar gelang es den Entwicklen, ein gültiges Zertifikat eines chinesischen Unternehmens zu entwenden, um den eigenen Code zu signieren und so Warnungen zu umgehen. Ein weiteres chinesisches Zertifikat im Code soll ungültig sein.

Kaspersky geht wegen der chinesischen Zertifikate, einiger Hinweise auf im Code verwendeter chinesischer Sprache und in Taiwan gehosteter Server davon aus, dass die Malware von chinesischen Autoren entwickelt wurde.

Neben dem Botnetz-Code selbst enthält die Malware offenbar einen Keylogger, der in einem 2.3 Mbyte großen Bild der Sängerin Taylor Swift versteckt ist. Die Keylogging-Software ist dabei keinesfalls neu, sondern stammt aus dem Jahr 2013. Der Schadcode ist in der Jpeg-Datei als Kommentar gehostet.

Das Mirai-Botnetz ist seit dem vergangenen Jahr aktiv und für eine Reihe großer DDoS-Angriffe verantwortlich. Neben dem Blog des Sicherheitsforscher Brian Krebs wurde auch der DNS-Provider Dyn angegriffen, was mehrere Ausfälle bei bekannten Online-Diensten wie Spotify, Twitter und Amazon verursachte. Der Schadcode ist seit längerem öffentlich verfügbar.



Anzeige
Spiele-Angebote
  1. (-78%) 1,11€
  2. 2,99€
  3. 39,99€
  4. 0,00€

Folgen Sie uns
       


Openbook erklärt (englisch)

Openbook ist ein neues soziales Netzwerk, das sich durch Crowdfunding finanziert hat. Golem.de hat sich mit dem Gründer Joel Hernández über das Projekt unterhalten.

Openbook erklärt (englisch) Video aufrufen
Mordhau angespielt: Die mit dem Schwertknauf zuschlagen
Mordhau angespielt
Die mit dem Schwertknauf zuschlagen

Ein herausfordernd-komplexes Kampfsystem, trotzdem schnelle Action mit Anleihen bei Chivalry und For Honor: Das vom Entwicklerstudio Triternion produzierte Mordhau schickt Spieler in mittelalterlich anmutende Multiplayergefechte mit klirrenden Schwertern und hohem Spaßfaktor.
Von Peter Steinlechner

  1. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  2. Bright Memory angespielt Brachialer PC-Shooter aus China

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

    •  /