Skip to content

Angriffe auf TCP/IP (12) - DDoS-Angriffe aus dem IoT (4)

Die DDoS-Angriffe durch das Mirai-Botnet haben 2016 zuvor ungeahnte Ausmaße angenommen. Die DDoS-Angriffe des Botnets habe ich bereits beschrieben, ebenso die Verbreitungsroutinen des Bots. Zum Abschluss geht es nun noch um die Folgen der Veröffentlichung des Botnet-Sourcecodes.

Mirais ohne Ende

Nachdem der Mirai-Sourcecode Ende September 2016 zunächst auf Hackforums.net und kurz darauf auf GitHub veröffentlicht wurde nahmen die Angriffe weiter zu.

Am 18. Oktober 2016 berichteten die Level 3 Threat Research Labs, dass sich die Anzahl der mit Mirai infizierten IoT-Geräte seit der Veröffentlichung des Sourcecodes mehr als verdoppelt hat. Außerdem hatte man festgestellt, dass viele Geräte parallel mit Mirai und einem weiteren damals kursierenden IoT-Bot namens Bashlight infiziert waren. Was eigentlich der in der vorherigen Folge erwähnten Schutzfunktion von Mirai widerspricht, die andere Schadsoftware beendet. Eine Erklärung dafür gibt es nicht.

Merkwürdige Verbindungen

An 19. Oktober 2016 berichtete Brian Krebs über die etwas merkwürdigen Verbindungen zwischen dem DDoS-Anbieter vDOS und einem Anbieter eines DDoS-Schutzes: Der Registrar, über den vDOS seine Domains registriert hat, bietet auch einen DDoS-Schutz an. Und es gibt noch weitere Verbindungen, u.a. zu einem weiteren Anbieter eines DDoS-Schutzes.

Weitere DDoS-Angriffe

Am 21. Oktober 2016 kam es zu mehreren DDoS-Angriffen auf die Managed DNS Infrastruktur von Dyn. Durch die Angriffe waren die Nameserver von Dyn teil- und zeitweise nicht erreichbar, so dass DNS-Abfragen nach von Dyn verwalteten Domain-Namen fehlschlugen. Dadurch waren die Websites einiger großer Anbieter wie Amazon, GitHub, Netflix, PayPal, Reddit, Spotify und Twitter an diesem Tag in Teilen der USA und Europas immer wieder für einige Zeit nicht zu erreichen.

Einige Stunden vor den Angriffen hatte Doug Madory, ein Forscher von Dyn, auf einem Treffen der North American Network Operators Group (NANOG) einen Vortrag über DDoS-Angriffe gehalten. Dabei hat er über die BGP-Hijacking-Angriffe einiger Anbieter eines DDoS-Schutz berichtet, an deren Aufdeckung er gemeinsam mit Brian Krebs gearbeitet hat. Zufällig gibt es außerdem Verbindungen zwischen diesen DDoS-Schutz-Anbietern und DDoS-Anbietern, s.o.. Und zufällig begannen die DDoS-Angriffe kurz nach dem Vortrag. Es gibt manchmal wirklich sehr komische Zufälle, nicht wahr?

Erste Analysen durch Flashpoint zeigten, dass die DDoS-Angriffe auf Dyn zumindest teilweise von einem Mirai-basierten Botnet ausgingen. Mehrere Personen und Gruppen behaupteten, für die Angriffen verantwortlich zu sein bzw. nannten angebliche Schuldige, der wirkliche Urheber blieb aber unbekannt. Flashpoint hielt es für am wahrscheinlichsten, dass die Urheber im Umfeld von Hackforums.net zu suchen waren. Die Angriffe hätten sehr wahrscheinlich weder finanzielle noch politische Hintergründe.

Dyn selbst wollte sich an Spekulationen über Hintergründe und Urheber der Angriffe nicht beteiligen und hat lediglich bestätigt, dass ein Großteil der Angriffe von Mirai-Botnets ausging.

Etwas Ruhe vor dem nächsten Sturm?

Am 24. Oktober 2016 hat das Internet Strom Center gemeldet, dass die von Mirai ausgehenden Scans nach Port 23 und 2323 etwas zurückgegangen sind, die von den ISPs ergriffenen Maßnahmen zur Verhinderung der Angriffe also erste Erfolge zeigten. Einige der von Mirai genutzten Command&Control-Server waren nicht mehr erreichbar, andere aber weiterhin aktiv.

Bis dahin wurden Mirai-Versionen für ARM, MIPS und PowerPC beobachtet, der Bot kann also sehr viele verschiedene Geräte infizieren. Besonders ergiebig war aber nach wie vor die Suche nach DVRs auf Basis der Plattform von XiongMai Technologies.

Neue Bots braucht das Land! Nicht!

Ende November 2016 meldete Flashpoint dann die Entdeckung einer neuen Mirai-Variante, die u.a. für DDoS-Angriffe auf die deutsche Telekom verantwortlich war. Dieser Bot verbreitete sich nicht mehr über Default-Zugangsdaten für Telnet, sondern eine bekannte Schwachstelle in den Protokollen TR-064 und TR-069.

Und seitdem müssen wir mit Mirai und seinen Nachfolgern leben. IoT-Geräte sind meist schlecht geschützt und daher ein ideales Ziel für Angriffe. Aber das Thema hatten wir ja schon.

In der nächsten Folge geht es zum Abschluss des Themenkomplexes "Angriffe auf TCP/IP" um das Fingerprinting von Systemen, also ihrer Identifikation, anhand ihres TCP/IP-Stacks sowie um Schutzmaßnahmen vor den vorgestellten Angriffen.

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Keine Trackbacks