Abo
  • Services:
Anzeige
Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten.
Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten. (Bild: Mobotix)

Brian Krebs: Wer die Hersteller des IoT-DDoS-Botnets sind

Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten.
Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten. (Bild: Mobotix)

Das IoT-DDoS-Botnetz Mirai sorgt derzeit für die größten bekannten DDoS-Angriffe mit einer Kapazität von mehr als 1 Tbit/s. Der Sicherheitsforscher Brian Krebs hat analysiert, wer die unsicheren Geräte herstellt.

Der Sicherheitsforscher Brian Krebs hat Details zum Botnet veröffentlicht, dass seine Webseite vor zwei Wochen angegriffen hat. Zuvor wurde der Quellcode des Botnets in einem Hackerforum veröffentlicht, was eine genauere Analyse der verwendeten Taktiken ermöglicht.

Anzeige

Die Malware scannt offenbar das Netz nach Geräten ab, die mit Standardeinstellungen und ohne Firewall betrieben werden. Auch Network Adress Translation (Nat) hilft nicht immer, weil einige Geräte Portfreigaben über Upnp (Universal Plug and Play) einrichten und somit trotzdem über das Internet auffindbar sind.

Bei den Geräten handelt es sich vor allem um IP-Kameras verschiedener Hersteller, darunter Dahua, Hisilicon, Mobotix und Shenzhen Anran Security Camera. Aber auch Geräte bekannterer Hersteller sind darunter, unter anderem eine Kamera von Toshiba, ein Router von ZTE und Realtek und Xerox-Drucker.

Unsichere Standardcredentials

Allen Geräten gemein ist, dass sie fest eingestellte Kombinationen aus Nutzername und Passwort verwenden. Diese können in der Regel von Nutzern geändert werden, was aber in der Praxis wohl nur wenige Anwender wirklich tun, wenn der Hersteller sie nicht zur Vergabe eines eigenen Passwortes zwingt. Einige Hersteller wollen die Nutzer aber künftig auffordern, eigene sichere Passwörter zu wählen.

Insgesamt soll es nach Angaben von Krebs Nutzernamen und Passwortkombinationen für 69 verschiedene Geräte geben. Die Malware wird in den Speicher der Kameras oder anderer verwundbarer Geräte geschrieben, ist aber nicht persistent. Nach einem Neustart ist die Schadsoftware also nicht mehr aktiv, allerdings soll es so viele Scans geben, dass Geräte teilweise bereits 5 Minuten nach dem Neustart erneut infiziert werden.

Die Malware nutzt laut Malwaretech einen Fehler in Busybox aus, und versucht dann, alle Prozesse auf den Ports 22, 23 und 80 zu blockieren, um dem eigentlichen Eigentümer des Gerätes den Zugriff zu verweigern. Dann wird der eigentliche Angriff per Syn-Flood und mit HTTP-Get-Requests gestartet.

eye home zur Startseite
Kommentarübersicht
Re: Bin mal echt gespannt, wer die Hersteller des...
M.P. 06. Okt 2016

Den gleiche Typ von Gewerbeschein, wie Brandsatzbauer für Schutzgelderpresser ... Die...

Re: Mit IPv6 wäre das nicht passiert
M.P. 05. Okt 2016

Du meinst also, das Internet ist irgendwann so leistungsstark, daß es in fünf...

Wie die Malware ausgeführt?
AlexanderSchäfer 04. Okt 2016

Selbst wenn man die Logindaten kennt, muss ja noch ein Weg gefunden werden die eigene...

Re: Mit Linux wär das nicht passiert
Seismoid 04. Okt 2016

Man muss langsam wirklich mal darüber nachdenken, ob die "Sicherheit" die Linux...

Re: Das ist nicht unauffällig
Ford Prefect 04. Okt 2016

Selbst erkannt: Das ist das ideale Verhalten für die Malware, nicht erkannt zu werden...

Anzeige
Stellenmarkt
  1. DERMALOG Identification Systems GmbH, Hamburg
  2. operational services GmbH & Co. KG, Chemnitz, Zwickau, Dresden
  3. SQS Software Quality Systems AG, Frankfurt, Köln, München, deutschlandweit
  4. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
Anzeige
Top-Angebote
  2. 30,99€
  3. (heute u. a. mit Soundbars und Heimkinosystemen, ASUS-Notebooks, Sony-Kopfhörern, Garmin...
Folgen Sie uns
       
Videos
Golem.de spielt live - Xcom 2 War of the Chosen Golem.de spielt live - Xcom 2 War of the Chosen
Ticker
  1. Drei Modelle vorgestellt

    Elektrokleinwagen e.Go erhöht die Spannung

  2. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut

  3. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  4. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  5. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  6. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  7. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  8. Elektromobilität

    In Norwegen fehlen Ladesäulen

  9. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  10. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Banana Pi
Banana Pi M2 Berry: Per SATA wird der Raspberry Pi attackiert
Banana Pi M2 Berry
Per SATA wird der Raspberry Pi attackiert
  1. Die Woche im Video Mäßige IT-Gehälter und lausige Wahlsoftware
  2. Orange Pi 2G IoT ausprobiert Wir bauen uns ein 20-Euro-Smartphone
Tests
Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten
Smartphone
Mini-Smartphone Jelly im Test: Winzig, gewöhnungsbedürftig, nutzbar
Mini-Smartphone Jelly im Test
Winzig, gewöhnungsbedürftig, nutzbar
  1. Leia RED verrät Details zum Holo-Display seines Smartphones
  2. Smartphones Absatz in Deutschland stagniert, Umsatz steigt leicht
  3. Wavy Klarna-App bietet kostenlose Überweisungen zwischen Freunden
Forumsbeiträge »
  1. Microsoft Gute Store-Apps sollen besseren Marketingstatus erhalten

    Re: Mehr offizielle Apps

    FreiGeistler | 07:46

  2. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

    Re: bringt Galileo / Glonass etwas?

    Pizzabrot | 07:45

  3. Elektromobilität In Norwegen fehlen Ladesäulen

    Re: Staatliche Subvention < Freier Markt

    chefin | 07:45

  4. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

    Re: "ihr gebt uns nicht absolut alles kostenlos...

    FreiGeistler | 07:43

  5. Apple iOS 11 im Test Alte Apps weg, Daten weg, aber sonst alles gut

    Re: Als Android-Nutzer beneide ich euch

    TTX | 07:39

Ticker »
  1. Drei Modelle vorgestellt Elektrokleinwagen e.Go erhöht die Spannung

    07:00

  2. Apple iOS 11 im Test Alte Apps weg, Daten weg, aber sonst alles gut

    19:04

  3. Bitkom Ausbau mit Glasfaser kann noch 20 Jahre dauern

    18:51

  4. Elektroauto Nikolas E-Trucks bekommen einen Antrieb von Bosch

    18:41

  5. HHVM Facebook konzentriert sich künftig auf Hack statt PHP

    17:01

  6. EU-Datenschutzreform Bitkom warnt Firmen vor Millionen-Bußgeldern

    16:46

  7. Keybase Teams Opensource-Teamchat verschlüsselt Gesprächsverläufe

    16:41

  8. Elektromobilität In Norwegen fehlen Ladesäulen

    16:28

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel