Angriffe auf TCP/IP (11) - DDoS-Angriffe aus dem IoT (3)
Die DDoS-Angriffe durch das Mirai-Botnet haben 2016 zuvor ungeahnte Ausmaße angenommen. Die DDoS-Angriffe des Botnets habe ich bereits beschrieben, in diese Folge geht es um die
Verbreitungsroutinen von Mirai
Die folgenden Informationen stammen wieder aus den Untersuchungen des zuerst auf Hackforums.net und kurz darauf auf GitHub veröffentlicht Mirai-Sourcecodes durch F5 und Imperva sowie meinen eigenen Untersuchungen.
Einige Netzwerke werden gemieden
Die Mirai-Bots erzeugen IP-Adressen und versuchen dann, unter dieser Adresse ein IoT-Gerät zu erreichen, dass sie kompromittieren können. Auffallend ist, dass der Mirai-Sourcecode eine hart kodierte Liste mit IP-Adressen enthält, die beim Scannen nach neuen Opfern ausgelassen werden.
Darunter befinden sich die US-amerikanische Post, das US- amerikanische Verteidigungsministerium, die Internet Assigned Numbers Authority (IANA) und IP-Bereiche von Hewlett-Packard und General Electric, siehe Tabelle 1.
IP | Netzwerk |
---|---|
127.0.0.0/8 | Loopback |
0.0.0.0/8 | Ungültiger Adressbereich |
3.0.0.0/8 | General Electric (GE) |
15.0.0.0/7 | Hewlett-Packard (HP) |
56.0.0.0/8 | US Postal Service |
10.0.0.0/8 | Interne Netzwerke |
192.168.0.0/16 | |
172.16.0.0/14 | |
100.64.0.0/10 | Reserviert (IANA NAT) |
169.254.0.0/16 | |
198.18.0.0/15 | IANA Special use |
224.*.*.* | Multicast |
6.0.0.0/7 | Department of Defense |
11.0.0.0/8 | |
21.0.0.0/8 | |
22.0.0.0/8 | |
26.0.0.0/8 | |
28.0.0.0/7 | |
30.0.0.0/8 | |
33.0.0.0/8 | |
55.0.0.0/8 | |
214.0.0.0/7 |
Tabelle 1: Die von Mirai nicht gescannten IP-Adress-Bereiche
Die Konkurrenz wird raus geschmissen
Während Mirai sich mit bestimmten Netzwerken nicht anlegen möchte, geht man gegen Konkurrenten auf den infizierten IoT-Geräten sehr rigoros vor: Alle Prozesse, die Telnet, SSH oder HTTP-Ports verwenden, konkurrierende Bots und andere Schädlinge werden nach der Infektion mit Mirai sofort beendet.
Aus was für Geräte besteht das Botnet?
Brian Krebs hat untersucht, welche Geräte angegriffen werden. Dazu hat er die fest im Code enthaltene Liste der getesteten Zugangsdaten ausgewertet.
Viele Benutzername-Passwort-Kombinationen sind generisch, wie z.B. die
beliebten admin/admin
, admin/password
,
root/root
und root/password
und werden von vielen
Anbietern und Geräten verwendet. Andere dagegen weisen auf bestimmte
Hersteller (z.B. root/realtek
und root/dreambox
)
oder sogar Geräte (root/ikwb
= Toshiba Netzwerk-Kameras)
hin.
Tabelle 2 enthält die Benutzername-Passwort-Kombinationen aus dem Mirai-Sourcecode und dazu die von Brian Krebs ermittelten Hersteller bzw. Geräte.
Benutzername | Passwort | Hersteller / Gerät |
---|---|---|
666666 | 666666 | Dahua IP Camera |
888888 | 888888 | |
Administrator | admin | |
admin | (ohne) | |
admin | 1111 | u.a. Xerox Drucker |
admin | 1111111 | |
admin | 1234 | |
admin | 1234 | |
admin | 12345 | |
admin | 123456 | ACTi IP Camera |
admin | 54321 | |
admin | 7ujMko0admin | |
admin | admin | |
admin | admin1234 | |
admin | meinsm | Mobotix Network Camera |
admin | pass | |
admin | password | |
admin | smcadmin | SMC Routers |
admin1 | password | |
administrator | 1234 | |
guest | 12345 | |
guest | 12345 | |
guest | guest | |
mother | fucker | |
root | (ohne) | Vivotek IP Camera |
root | 00000000 | Panasonic Drucker |
root | 1111111 | Samsung IP Camera |
root | 1234 | |
root | 12345 | |
root | 123456 | |
root | 54321 | u.a. Packet8 VOIP Phone |
root | 666666 | Dahua DVR |
root | 7ujMko0admin | Dahua IP Camera |
root | 7ujMko0vizxv | Dahua IP Camera |
root | 888888 | Dahua DVR |
root | Zte521 | ZTE Router |
root | admin | IPX-DDK Network Camera |
root | anko | ANKO Products DVR |
root | default | |
root | dreambox | Dreambox TV Receiver |
root | hi3518 | HiSilicon IP Camera |
root | ikwb | Toshiba Network Camera |
root | juantech | Guangzhou Juan Optical |
root | jvbzd | HiSilicon IP Camera |
root | klv123 | HiSilicon IP Camera |
root | klv1234 | HiSilicon IP Camera |
root | pass | u.a. Axis IP Camera |
root | password | |
root | realtek | RealTek Router |
root | root | |
root | system | IQinVision Camera |
root | user | |
root | vizxv | Dahua Camera |
root | xc3511 | H.264 - Chinesische DVR |
root | xmhdipc | Shenzhen Anran Security Camera |
root | zlxx. | EV ZLX Two-way Speaker? |
service | service | |
supervisor | supervisor | VideoIQ |
support | support | |
tech | tech | |
ubnt | ubnt | Ubiquiti AirOS Router |
user | user |
Tabelle 2: Die von Mirai verwendeten Default-Zugangsdaten und die von Brian Krebs ermittelten Hersteller
Forscher von Flashpoint haben
herausgefunden,
dass hinter der Kombination root/xc3511
, die für eine
Vielzahl von DVR aus chinesischer Produktion verwendet wird, ein einzelner
Hersteller steckt: XiongMai Technologies. Das Unternehmen stellt
ungelabelte DVR und NVR sowie IP-Kamera-Boards her, die samt Firmware an
andere Hersteller geliefert werden. Wenn die dann daraus ihre Geräte
herstellen, übernehmen sie die Default-Daten von XiongMai
Technologies. Dadurch waren auf einen Schlag mehr als 500.000 Geräte
weltweit betroffen.
Am 24. Oktober 2016 hat XiongMai Technologies bekannt gegeben, betroffene Geräte, überwiegend Netzwerkkameras, zurückzurufen. Gleichzeitig gab man bekannt, dass alle seit September 2015 ausgelieferten Geräte nicht betroffen seien, da seitdem der Telnet-Zugang per Default ausgeschaltet ist. Außerdem würden die Geräte die Benutzer beim Einschalten auffordern, das Passwort zu ändern.
Soweit, so gut, auch wenn der Rückruf in dieser Form nicht viel bewirken kann. Viele betroffene Benutzer wissen ja gar nicht, dass sie ein Gerät von XiongMai Technologies betreiben, auf den Geräten steht ja immer ein anderer Hersteller. Erst, wenn die Kunden von XiongMai Technologies ihre Geräte zurück gerufen hätten bestand die Chance, dass die Besitzer der Geräte wirklich erreicht werden. Was aber, soweit ich weiß, nicht passiert ist.
So viel zur Verbreitung der Mirai-Bots. Wie erfolgreich die war und was das Botnet noch anstellte erfahren Sie in der nächsten Folge.
Kategorien: Grundlagen
Trackbacks