Skip to content

Angriffe auf TCP/IP (11) - DDoS-Angriffe aus dem IoT (3)

Die DDoS-Angriffe durch das Mirai-Botnet haben 2016 zuvor ungeahnte Ausmaße angenommen. Die DDoS-Angriffe des Botnets habe ich bereits beschrieben, in diese Folge geht es um die

Verbreitungsroutinen von Mirai

Die folgenden Informationen stammen wieder aus den Untersuchungen des zuerst auf Hackforums.net und kurz darauf auf GitHub veröffentlicht Mirai-Sourcecodes durch F5 und Imperva sowie meinen eigenen Untersuchungen.

Einige Netzwerke werden gemieden

Die Mirai-Bots erzeugen IP-Adressen und versuchen dann, unter dieser Adresse ein IoT-Gerät zu erreichen, dass sie kompromittieren können. Auffallend ist, dass der Mirai-Sourcecode eine hart kodierte Liste mit IP-Adressen enthält, die beim Scannen nach neuen Opfern ausgelassen werden.

Darunter befinden sich die US-amerikanische Post, das US- amerikanische Verteidigungsministerium, die Internet Assigned Numbers Authority (IANA) und IP-Bereiche von Hewlett-Packard und General Electric, siehe Tabelle 1.

IP Netzwerk
127.0.0.0/8 Loopback
0.0.0.0/8 Ungültiger Adressbereich
3.0.0.0/8 General Electric (GE)
15.0.0.0/7 Hewlett-Packard (HP)
56.0.0.0/8 US Postal Service
10.0.0.0/8 Interne Netzwerke
192.168.0.0/16
172.16.0.0/14
100.64.0.0/10 Reserviert (IANA NAT)
169.254.0.0/16
198.18.0.0/15 IANA Special use
224.*.*.* Multicast
6.0.0.0/7 Department of Defense
11.0.0.0/8
21.0.0.0/8
22.0.0.0/8
26.0.0.0/8
28.0.0.0/7
30.0.0.0/8
33.0.0.0/8
55.0.0.0/8
214.0.0.0/7

Tabelle 1: Die von Mirai nicht gescannten IP-Adress-Bereiche

Die Konkurrenz wird raus geschmissen

Während Mirai sich mit bestimmten Netzwerken nicht anlegen möchte, geht man gegen Konkurrenten auf den infizierten IoT-Geräten sehr rigoros vor: Alle Prozesse, die Telnet, SSH oder HTTP-Ports verwenden, konkurrierende Bots und andere Schädlinge werden nach der Infektion mit Mirai sofort beendet.

Aus was für Geräte besteht das Botnet?

Brian Krebs hat untersucht, welche Geräte angegriffen werden. Dazu hat er die fest im Code enthaltene Liste der getesteten Zugangsdaten ausgewertet.

Viele Benutzername-Passwort-Kombinationen sind generisch, wie z.B. die beliebten admin/admin, admin/password, root/root und root/password und werden von vielen Anbietern und Geräten verwendet. Andere dagegen weisen auf bestimmte Hersteller (z.B. root/realtek und root/dreambox) oder sogar Geräte (root/ikwb = Toshiba Netzwerk-Kameras) hin.

Tabelle 2 enthält die Benutzername-Passwort-Kombinationen aus dem Mirai-Sourcecode und dazu die von Brian Krebs ermittelten Hersteller bzw. Geräte.

Benutzername Passwort Hersteller / Gerät
666666 666666 Dahua IP Camera
888888 888888
Administrator admin
admin (ohne)
admin 1111 u.a. Xerox Drucker
admin 1111111
admin 1234
admin 1234
admin 12345
admin 123456 ACTi IP Camera
admin 54321
admin 7ujMko0admin
admin admin
admin admin1234
admin meinsm Mobotix Network Camera
admin pass
admin password
admin smcadmin SMC Routers
admin1 password
administrator 1234
guest 12345
guest 12345
guest guest
mother fucker
root (ohne) Vivotek IP Camera
root 00000000 Panasonic Drucker
root 1111111 Samsung IP Camera
root 1234
root 12345
root 123456
root 54321 u.a. Packet8 VOIP Phone
root 666666 Dahua DVR
root 7ujMko0admin Dahua IP Camera
root 7ujMko0vizxv Dahua IP Camera
root 888888 Dahua DVR
root Zte521 ZTE Router
root admin IPX-DDK Network Camera
root anko ANKO Products DVR
root default
root dreambox Dreambox TV Receiver
root hi3518 HiSilicon IP Camera
root ikwb Toshiba Network Camera
root juantech Guangzhou Juan Optical
root jvbzd HiSilicon IP Camera
root klv123 HiSilicon IP Camera
root klv1234 HiSilicon IP Camera
root pass u.a. Axis IP Camera
root password
root realtek RealTek Router
root root
root system IQinVision Camera
root user
root vizxv Dahua Camera
root xc3511 H.264 - Chinesische DVR
root xmhdipc Shenzhen Anran Security Camera
root zlxx. EV ZLX Two-way Speaker?
service service
supervisor supervisor VideoIQ
support support
tech tech
ubnt ubnt Ubiquiti AirOS Router
user user

Tabelle 2: Die von Mirai verwendeten Default-Zugangsdaten und die von Brian Krebs ermittelten Hersteller

Forscher von Flashpoint haben herausgefunden, dass hinter der Kombination root/xc3511, die für eine Vielzahl von DVR aus chinesischer Produktion verwendet wird, ein einzelner Hersteller steckt: XiongMai Technologies. Das Unternehmen stellt ungelabelte DVR und NVR sowie IP-Kamera-Boards her, die samt Firmware an andere Hersteller geliefert werden. Wenn die dann daraus ihre Geräte herstellen, übernehmen sie die Default-Daten von XiongMai Technologies. Dadurch waren auf einen Schlag mehr als 500.000 Geräte weltweit betroffen.

Am 24. Oktober 2016 hat XiongMai Technologies bekannt gegeben, betroffene Geräte, überwiegend Netzwerkkameras, zurückzurufen. Gleichzeitig gab man bekannt, dass alle seit September 2015 ausgelieferten Geräte nicht betroffen seien, da seitdem der Telnet-Zugang per Default ausgeschaltet ist. Außerdem würden die Geräte die Benutzer beim Einschalten auffordern, das Passwort zu ändern.

Soweit, so gut, auch wenn der Rückruf in dieser Form nicht viel bewirken kann. Viele betroffene Benutzer wissen ja gar nicht, dass sie ein Gerät von XiongMai Technologies betreiben, auf den Geräten steht ja immer ein anderer Hersteller. Erst, wenn die Kunden von XiongMai Technologies ihre Geräte zurück gerufen hätten bestand die Chance, dass die Besitzer der Geräte wirklich erreicht werden. Was aber, soweit ich weiß, nicht passiert ist.

So viel zur Verbreitung der Mirai-Bots. Wie erfolgreich die war und was das Botnet noch anstellte erfahren Sie in der nächsten Folge.

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Keine Trackbacks