• IT-Karriere:
  • Services:

Brian Krebs: Wer die Hersteller des IoT-DDoS-Botnets sind

Das IoT-DDoS-Botnetz Mirai sorgt derzeit für die größten bekannten DDoS-Angriffe mit einer Kapazität von mehr als 1 Tbit/s. Der Sicherheitsforscher Brian Krebs hat analysiert, wer die unsicheren Geräte herstellt.

Artikel veröffentlicht am ,
Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten.
Standardzugangsdaten für IP-Kameras von Mobotix sind im Quellcode des Mirai-Botnetzes enthalten. (Bild: Mobotix)

Der Sicherheitsforscher Brian Krebs hat Details zum Botnet veröffentlicht, dass seine Webseite vor zwei Wochen angegriffen hat. Zuvor wurde der Quellcode des Botnets in einem Hackerforum veröffentlicht, was eine genauere Analyse der verwendeten Taktiken ermöglicht.

Stellenmarkt
  1. Deutsche Post DHL Group, Berlin-Friedrichshain
  2. Hays AG, Frankfurt am Main

Die Malware scannt offenbar das Netz nach Geräten ab, die mit Standardeinstellungen und ohne Firewall betrieben werden. Auch Network Adress Translation (Nat) hilft nicht immer, weil einige Geräte Portfreigaben über Upnp (Universal Plug and Play) einrichten und somit trotzdem über das Internet auffindbar sind.

Bei den Geräten handelt es sich vor allem um IP-Kameras verschiedener Hersteller, darunter Dahua, Hisilicon, Mobotix und Shenzhen Anran Security Camera. Aber auch Geräte bekannterer Hersteller sind darunter, unter anderem eine Kamera von Toshiba, ein Router von ZTE und Realtek und Xerox-Drucker.

Unsichere Standardcredentials

Allen Geräten gemein ist, dass sie fest eingestellte Kombinationen aus Nutzername und Passwort verwenden. Diese können in der Regel von Nutzern geändert werden, was aber in der Praxis wohl nur wenige Anwender wirklich tun, wenn der Hersteller sie nicht zur Vergabe eines eigenen Passwortes zwingt. Einige Hersteller wollen die Nutzer aber künftig auffordern, eigene sichere Passwörter zu wählen.

Insgesamt soll es nach Angaben von Krebs Nutzernamen und Passwortkombinationen für 69 verschiedene Geräte geben. Die Malware wird in den Speicher der Kameras oder anderer verwundbarer Geräte geschrieben, ist aber nicht persistent. Nach einem Neustart ist die Schadsoftware also nicht mehr aktiv, allerdings soll es so viele Scans geben, dass Geräte teilweise bereits 5 Minuten nach dem Neustart erneut infiziert werden.

Die Malware nutzt laut Malwaretech einen Fehler in Busybox aus, und versucht dann, alle Prozesse auf den Ports 22, 23 und 80 zu blockieren, um dem eigentlichen Eigentümer des Gerätes den Zugriff zu verweigern. Dann wird der eigentliche Angriff per Syn-Flood und mit HTTP-Get-Requests gestartet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Elektromobilität
    Nio hat eine halbe Million Akkus getauscht
  2. Corona-Pandemie
    Elon Musk fordert Zerschlagung von Amazon
  3. Hyundai Nexo
    Wasserdampf im Rückspiegel
  4. Corona-Konjunkturpaket
    Staatlicher Teil der Elektroauto-Kaufprämie wird verdoppelt
  5. Sonos Arc
    Die Dolby-Atmos-Soundbar hat ein Anschluss-Dilemma
Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: Bin mal echt gespannt, wer die Hersteller des...
M.P. 06. Okt 2016

Den gleiche Typ von Gewerbeschein, wie Brandsatzbauer für Schutzgelderpresser ... Die...

Re: Mit IPv6 wäre das nicht passiert
M.P. 05. Okt 2016

Du meinst also, das Internet ist irgendwann so leistungsstark, daß es in fünf...

Wie die Malware ausgeführt?
AlexanderSchäfer 04. Okt 2016

Selbst wenn man die Logindaten kennt, muss ja noch ein Weg gefunden werden die eigene...

Re: Mit Linux wär das nicht passiert
Seismoid 04. Okt 2016

Man muss langsam wirklich mal darüber nachdenken, ob die "Sicherheit" die Linux...

Re: Das ist nicht unauffällig
Ford Prefect 04. Okt 2016

Selbst erkannt: Das ist das ideale Verhalten für die Malware, nicht erkannt zu werden...

Folgen Sie uns
       
Projekt Mare - DLR

Helga und Zohar sind zwei anthropomorphe Phantome, ihre Körper simulieren die Struktur des menschlichen Gewebes. DLR-Forscher wollen messen, wie sich die Strahlung auf den Körper auswirkt.

Projekt Mare - DLR Video aufrufen
Corona-App
FAQ: Was man über die Corona-App der Regierung wissen muss
FAQ
Was man über die Corona-App der Regierung wissen muss

Golem.de beantwortet die wichtigsten Fragen zu Technik, Nutzen und Datenschutz der Tracing-App der Bundesregierung.
Eine Analyse von Friedhelm Greis

  1. Gegen Zwangsinstallation Grüne Justizminister fordern Gesetz für Corona-App
  2. Auf Github Telekom und SAP veröffentlichen Quellcode der Corona-App
  3. Github Entwickler veröffentlichen Screenshots der Corona-Warn-App
Netflix
Space Force: Die Realität ist witziger als die Fiktion
Space Force
Die Realität ist witziger als die Fiktion

Über Trumps United States Space Force ist schon viel gelacht worden. Steve Carrell hat daraus eine Serie gemacht. Die ist allerdings nicht ganz so lustig geworden.
Von Peter Osteried

  1. Videostreaming Netflix deaktiviert lange nicht genutzte Abos
  2. Corona und Videostreaming Netflix beendet Drosselung der Bitrate, Amazon nicht
  3. Streaming Netflix-Comedyserie zeigt die Anfänge der US Space Force
Zhaoxin
Zhaoxin KX-U6780A im Test: Das kann Chinas x86-Prozessor
Zhaoxin KX-U6780A im Test
Das kann Chinas x86-Prozessor

Nicht nur AMD und Intel entwickeln x86-Chips, sondern auch Zhaoxin. Deren Achtkern-CPU fasziniert uns trotz oder gerade wegen ihrer Schwächen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. KH-40000 & KX-7000 Zhaoxin plant x86-Chips mit 32 Kernen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /