Abo
  • Services:
Anzeige
Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten.
Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten. (Bild: Mobotix)

Brian Krebs: Wer die Hersteller des IoT-DDoS-Botnets sind

Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten.
Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten. (Bild: Mobotix)

Das IoT-DDoS-Botnetz Mirai sorgt derzeit für die größten bekannten DDoS-Angriffe mit einer Kapazität von mehr als 1 Tbit/s. Der Sicherheitsforscher Brian Krebs hat analysiert, wer die unsicheren Geräte herstellt.

Der Sicherheitsforscher Brian Krebs hat Details zum Botnet veröffentlicht, dass seine Webseite vor zwei Wochen angegriffen hat. Zuvor wurde der Quellcode des Botnets in einem Hackerforum veröffentlicht, was eine genauere Analyse der verwendeten Taktiken ermöglicht.

Anzeige

Die Malware scannt offenbar das Netz nach Geräten ab, die mit Standardeinstellungen und ohne Firewall betrieben werden. Auch Network Adress Translation (Nat) hilft nicht immer, weil einige Geräte Portfreigaben über Upnp (Universal Plug and Play) einrichten und somit trotzdem über das Internet auffindbar sind.

Bei den Geräten handelt es sich vor allem um IP-Kameras verschiedener Hersteller, darunter Dahua, Hisilicon, Mobotix und Shenzhen Anran Security Camera. Aber auch Geräte bekannterer Hersteller sind darunter, unter anderem eine Kamera von Toshiba, ein Router von ZTE und Realtek und Xerox-Drucker.

Unsichere Standardcredentials

Allen Geräten gemein ist, dass sie fest eingestellte Kombinationen aus Nutzername und Passwort verwenden. Diese können in der Regel von Nutzern geändert werden, was aber in der Praxis wohl nur wenige Anwender wirklich tun, wenn der Hersteller sie nicht zur Vergabe eines eigenen Passwortes zwingt. Einige Hersteller wollen die Nutzer aber künftig auffordern, eigene sichere Passwörter zu wählen.

Insgesamt soll es nach Angaben von Krebs Nutzernamen und Passwortkombinationen für 69 verschiedene Geräte geben. Die Malware wird in den Speicher der Kameras oder anderer verwundbarer Geräte geschrieben, ist aber nicht persistent. Nach einem Neustart ist die Schadsoftware also nicht mehr aktiv, allerdings soll es so viele Scans geben, dass Geräte teilweise bereits 5 Minuten nach dem Neustart erneut infiziert werden.

Die Malware nutzt laut Malwaretech einen Fehler in Busybox aus, und versucht dann, alle Prozesse auf den Ports 22, 23 und 80 zu blockieren, um dem eigentlichen Eigentümer des Gerätes den Zugriff zu verweigern. Dann wird der eigentliche Angriff per Syn-Flood und mit HTTP-Get-Requests gestartet.


eye home zur Startseite
M.P. 06. Okt 2016

Den gleiche Typ von Gewerbeschein, wie Brandsatzbauer für Schutzgelderpresser ... Die...

M.P. 05. Okt 2016

Du meinst also, das Internet ist irgendwann so leistungsstark, daß es in fünf...

AlexanderSchäfer 04. Okt 2016

Selbst wenn man die Logindaten kennt, muss ja noch ein Weg gefunden werden die eigene...

Seismoid 04. Okt 2016

Man muss langsam wirklich mal darüber nachdenken, ob die "Sicherheit" die Linux...

Ford Prefect 04. Okt 2016

Selbst erkannt: Das ist das ideale Verhalten für die Malware, nicht erkannt zu werden...



Anzeige

Stellenmarkt
  1. teamix gmbH, Nürnberg, Mainz, München, Bayreuth
  2. BMF Media Information Technology GmbH, Augsburg
  3. Endress+Hauser InfoServe GmbH+Co. KG, Freiburg im Breisgau oder Weil am Rhein
  4. Continental AG, Regensburg


Anzeige
Spiele-Angebote
  1. 22,99€
  2. 6,99€
  3. 27,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Supercomputer

    Der erste Exaflop-Rechner wird in China gebaut

  2. Thomas de Maizière

    Doch keine Vorratsdatenspeicherung für Whatsapp

  3. Automatisierung

    Europaparlament fordert Roboterregeln

  4. Elitebook 810 Revolve G3

    HP gibt die klassischen Convertible-Notebooks auf

  5. Connected Modular

    Tag Heuers neue Smartwatch soll hybrid sein

  6. Megaupload

    Kim Dotcom kann in die USA abgeschoben werden

  7. Rechentechnik

    Ein Bauplan für einen Quantencomputer

  8. Roborace

    Roboterrennwagen bei Testlauf verunglückt

  9. Realface

    Apple kauft israelischen Gesichtserkennungsspezialisten

  10. Chevrolet Bolt

    GM plant Tests mit Tausenden von autonomen Elektroautos



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Prey angespielt: Das Monster aus der Kaffeetasse
Prey angespielt
Das Monster aus der Kaffeetasse
  1. Bethesda Softworks Prey bedroht die Welt im Mai 2017
  2. Ausblicke Abenteuer in Andromeda und Galaxy

Autonomes Fahren: Die Ära der Kooperitis
Autonomes Fahren
Die Ära der Kooperitis
  1. Neue Bedienungssysteme im Auto Es kribbelt in den Fingern
  2. Amazon Alexa im Auto, im Kinderzimmer und im Kühlschrank
  3. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden

Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

  1. Re: Aasgeier

    |=H | 11:52

  2. Re: abgeschoben oder ausgeliefert?

    Muhaha | 11:51

  3. Re: Wegen Betrugs?

    Muhaha | 11:50

  4. Re: So groß wie ein Fußballfeld...

    DetlevCM | 11:43

  5. Re: Zumindest Gary Vaynerchuk sollte man im...

    Prypjat | 11:43


  1. 11:59

  2. 11:40

  3. 11:27

  4. 11:26

  5. 10:29

  6. 10:13

  7. 09:07

  8. 07:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel