Mirai (Malware) - Mirai (malware)

Mirai
Originalautor(en) Paras Jha, Josiah White und Dalton Norman
Repository
Geschrieben in C (Agent), Go (Controller)
Betriebssystem Linux
Typ Botnet
Lizenz GNU General Public License v3.0
Webseite github .com /jgamblin /Mirai-Quellcode Bearbeiten Sie dies auf Wikidata

Mirai ( Japanisch :未来, wörtlich 'Zukunft') ist eine Malware , die vernetzte Geräte mit Linux in ferngesteuerte Bots verwandelt , die als Teil eines Botnetzes bei groß angelegten Netzwerkangriffen eingesetzt werden können. Es richtet sich in erster Linie an Online-Verbrauchergeräte wie IP-Kameras und Heimrouter . Das Mirai-Botnet wurde erstmals im August 2016 von MalwareMustDie , einer White-Hat- Malware-Forschungsgruppe, entdeckt und wurde bei einigen der größten und störendsten Distributed-Denial-of-Service-Angriffe (DDoS) verwendet , einschließlich eines Angriffs vom 20. September 2016 auf die Computersicherheit die Website des Journalisten Brian Krebs , ein Angriff auf den französischen Webhoster OVH und der Cyberangriff von Dyn im Oktober 2016 . Laut einem Chat-Log zwischen Anna-senpai und Robert Coelho wurde Mirai nach der TV- Anime- Serie Mirai Nikki von 2011 benannt .

Die Software wurde ursprünglich von den Entwicklern für DDoS- Minecraft- Server und Unternehmen verwendet, die diesen Servern DDoS-Schutz anbieten, wobei die Autoren Mirai verwenden, um einen Schutzschläger zu betreiben . Der Quellcode für Mirai wurde anschließend in Hack-Foren als Open Source veröffentlicht . Seit der Veröffentlichung des Quellcodes wurden die Techniken in anderen Malware-Projekten angepasst.

Malware

Mit Mirai infizierte Geräte scannen kontinuierlich das Internet nach der IP-Adresse von Internet of Things (IoT)-Geräten. Mirai enthält eine Tabelle mit IP-Adressbereichen, die nicht infiziert werden, einschließlich privater Netzwerke und Adressen, die dem Postdienst der Vereinigten Staaten und dem Verteidigungsministerium zugewiesen sind .

Mirai identifiziert dann anfällige IoT-Geräte anhand einer Tabelle mit mehr als 60 gängigen werkseitig voreingestellten Benutzernamen und Passwörtern und meldet sich bei ihnen an, um sie mit der Mirai-Malware zu infizieren. Infizierte Geräte funktionieren weiterhin normal, mit Ausnahme von gelegentlicher Trägheit und erhöhter Bandbreitennutzung . Ein Gerät bleibt infiziert, bis es neu gestartet wird. Dazu kann es sein, dass das Gerät einfach ausgeschaltet und nach einer kurzen Wartezeit wieder eingeschaltet wird. Nach einem Neustart wird das Gerät innerhalb weniger Minuten erneut infiziert, es sei denn, das Login-Passwort wird sofort geändert. Bei einer Infektion identifiziert Mirai jede "konkurrierende" Malware, entfernt sie aus dem Speicher und blockiert Remote-Administrationsports.

Opfer von IoT-Geräten werden identifiziert, indem sie „zuerst in eine schnelle Scan-Phase eintreten, in der sie asynchron und „zustandslos“ TCP-SYN-Tests an pseudozufällige IPv4-Adressen, mit Ausnahme derjenigen in einer hartcodierten IP-Blacklist, auf den Telnet- TCP-Ports 23 und 2323 gesendet haben“. Reagiert ein IoT-Gerät auf die Probe, tritt der Angriff dann in eine Brute-Force-Login-Phase ein. Während dieser Phase versucht der Angreifer, eine Telnet-Verbindung aufzubauen, indem er vorher festgelegte Benutzernamen- und Kennwortpaare aus einer Liste von Anmeldeinformationen verwendet. Die meisten dieser Anmeldungen sind Standardbenutzernamen und -kennwörter des IoT-Anbieters. Wenn das IoT-Gerät den Telnet-Zugriff zulässt, wird die IP des Opfers zusammen mit den erfolgreich verwendeten Anmeldeinformationen an einen Sammelserver gesendet.

Es gibt Hunderttausende von IoT-Geräten, die Standardeinstellungen verwenden, was sie anfällig für Infektionen macht. Nach der Infektion überwacht das Gerät einen Befehls- und Kontrollserver, der das Ziel eines Angriffs anzeigt. Der Grund für den Einsatz der großen Anzahl von IoT-Geräten ist die Umgehung einer Anti-DoS-Software , die die IP-Adresse eingehender Anfragen überwacht und filtert oder eine Sperre einrichtet, wenn sie ein abnormales Verkehrsmuster erkennt, zum Beispiel bei zu vielen Anfragen von einer bestimmten IP-Adresse stammen. Andere Gründe sind, mehr Bandbreite bereitstellen zu können, als der Täter alleine aufbauen kann, und um nicht verfolgt zu werden.

Mirai als Bedrohung durch das Internet der Dinge (IoT) wurde nach der Verhaftung der Akteure nicht gestoppt. Einige glauben, dass andere Akteure den Mirai- Malware- Quellcode auf GitHub verwenden , um Mirai in neue Varianten zu entwickeln . Sie spekulieren, dass das Ziel darin besteht, seinen Botnet- Knoten auf viele weitere IoT-Geräte auszuweiten . Die Einzelheiten der jüngsten Fortschritte dieser Varianten sind in den folgenden Absätzen aufgeführt.

Am 12. Dezember 2017 identifizierten Forscher eine Variante von Mirai, die einen Zero-Day- Fehler in Huawei HG532-Routern ausnutzt , um die Infektion von Mirai- Botnets zu beschleunigen , und zwei bekannte SOAP- bezogene Exploits auf der Router-Webschnittstelle implementiert, CVE-2014–8361 und CVE-2017–17215. Diese Mirai-Version heißt "Satori".

Am 14. Januar 2018 wurde eine neue Variante von Mirai mit dem Namen "Okiru" gefunden, die bereits auf beliebte eingebettete Prozessoren wie ARM, MIPS, x86, PowerPC und andere abzielt , zum ersten Mal auf ARC-Prozessoren basierende Linux- Geräte abzielt . Der Argonaut RISC Core Prozessor (kurz: ARC-Prozessoren ) ist der zweitbeliebteste eingebettete 32-Bit-Prozessor, der in mehr als 1,5 Milliarden Produkten pro Jahr ausgeliefert wird, darunter Desktop-Computer, Server, Radio, Kameras, Mobiltelefone, Stromzähler, Fernseher, Flash Laufwerke, Automotive, Netzwerkgeräte (Smart Hubs, TV-Modems, Router, WLAN) und Internet der Dinge. Nur eine relativ kleine Anzahl von ARC-basierten Geräten läuft unter Linux und ist daher Mirai ausgesetzt.

Am 18. Januar 2018 soll ein Nachfolger von Mirai entwickelt werden, um Kryptowährungs- Mining- Operationen zu kapern .

Am 26. Januar 2018 wurden zwei ähnliche Botnets der Mirai-Variante gemeldet, von denen die modifizierte Version den Exploit des EDB 38722 D-Link-Routers als Waffe nutzt, um weitere anfällige IoT-Geräte anzuwerben. Die Schwachstelle im Home Network Administration Protocol (HNAP) des Routers wird ausgenutzt, um eine bösartige Abfrage an ausgenutzte Router zu erstellen, die die Authentifizierung umgehen kann, um dann eine willkürliche Remotecodeausführung zu verursachen. Die weniger modifizierte Version von Mirai heißt "Masuta" (nach der japanischen Transliteration von "Master"), während die stärker modifizierte Version "PureMasuta" heißt.

Im März 2018 ist eine neue Variante von Mirai mit dem Namen "OMG" aufgetaucht, die zusätzliche Konfigurationen enthält, um anfällige IoT-Geräte anzugreifen und sie in Proxy-Server zu verwandeln. Dem Mirai-Code wurden neue Firewall-Regeln hinzugefügt, die es dem Datenverkehr ermöglichen, über die generierten HTTP- und SOCKS-Ports zu reisen. Sobald diese Ports für den Verkehr geöffnet sind, richtet OMG 3proxy ein – Open-Source-Software, die auf einer russischen Website verfügbar ist .

Zwischen Mai und Juni 2018 ist eine weitere Variante von Mirai mit dem Namen "Wicked" mit zusätzlichen Konfigurationen aufgetaucht, die auf mindestens drei zusätzliche Exploits abzielen, einschließlich solcher, die Netgear-Router und CCTV-DVRs betreffen. Wicked scannt die Ports 8080, 8443, 80 und 81 und versucht, anfällige, ungepatchte IoT-Geräte zu finden, die auf diesen Ports ausgeführt werden. Forscher vermuten, dass derselbe Autor die Botnets Wicked, Sora, Owari und Omni erstellt hat.

Anfang Juli 2018 wurde berichtet, dass mindestens dreizehn Versionen der Mirai-Malware entdeckt wurden, die das Internet der Dinge (IoT) von Linux im Internet aktiv infiziert haben , und drei von ihnen wurden entwickelt, um bestimmte Schwachstellen mithilfe von Exploit-Proof-of-Concept zu bekämpfen, ohne Brute zu starten -Forcing Angriff auf die Standard-Anmeldedaten-Authentifizierung. Im selben Monat wurde ein Bericht über eine Infektionskampagne mit Mirai-Malware auf Android-Geräten über die Android Debug Bridge auf TCP/5555 veröffentlicht, die eigentlich eine optionale Funktion des Android-Betriebssystems ist, aber es wurde festgestellt, dass diese Funktion aktiviert zu sein scheint auf einigen Android-Handys.

Ende 2018 wurde eine Mirai-Variante mit dem Namen "Miori" über eine Remote-Code-Execution-Schwachstelle im ThinkPHP-Framework verbreitet, die die Versionen 5.0.23 bis 5.1.31 betraf. Diese Schwachstelle wird von den weiterentwickelten Mirai-Varianten, die im Januar 2019 als "Hakai" und "Yowai" bezeichnet wurden, und im Februar 2019 als Variante "SpeakUp" kontinuierlich missbraucht.

Einsatz bei DDoS-Angriffen

Mirai wurde zusammen mit BASHLITE beim DDoS-Angriff am 20. September 2016 auf die Website Krebs on Security verwendet , der 620 Gbit/s erreichte. Auch Ars Technica meldete einen 1-Tbit/s-Angriff auf den französischen Webhoster OVH .

Am 21. Oktober 2016 kam es zu mehreren großen DDoS-Angriffen auf DNS- Dienste des DNS-Dienstanbieters Dyn mit Mirai-Malware, die auf einer großen Anzahl von IoT-Geräten installiert war , von denen viele noch ihre Standardbenutzernamen und -passwörter verwendeten. Diese Angriffe führten zur Unzugänglichkeit mehrerer hochkarätiger Websites, darunter GitHub , Twitter , Reddit , Netflix , Airbnb und viele andere. Die Zuordnung des Dyn-Angriffs zum Mirai-Botnet wurde ursprünglich von Level 3 Communications gemeldet.

Später stellte sich heraus, dass Mirai während der DDoS-Angriffe gegen die Rutgers University von 2014 bis 2016 verwendet wurde, die dazu führten, dass Lehrkräfte und Studenten auf dem Campus mehrere Tage lang nicht auf das externe Internet zugreifen konnten. Darüber hinaus führte ein Ausfall des Zentralen Authentifizierungsdienstes der Universität dazu, dass die Kursanmeldung und andere Dienste in kritischen Zeiten des akademischen Semesters nicht verfügbar waren. Die Universität gab Berichten zufolge 300.000 US-Dollar für Beratungen aus und erhöhte das Cybersicherheitsbudget der Universität als Reaktion auf diese Angriffe um 1 Million US-Dollar. Die Universität nannte die Anschläge als einen Grund für die Erhöhung der Studiengebühren und Gebühren für das Schuljahr 2015–2016. Eine Person unter dem Pseudonym "exfocus" bekannte sich zu den Angriffen und erklärte in einem Reddit-AMA im Subreddit /r/Rutgers, dass der Benutzer ein Student an der Schule war und die DDoS-Angriffe durch Frustrationen mit dem Bussystem der Universität motiviert waren . Derselbe Benutzer behauptete später in einem Interview mit einem in New Jersey ansässigen Blogger, er habe gelogen, dass er mit der Universität verbunden sei und dass die Angriffe von einem anonymen Kunden finanziert würden. Der Sicherheitsforscher Brian Krebs behauptete später, der Benutzer sei tatsächlich ein Student an der Rutgers University gewesen und dass das letztgenannte Interview geführt worden sei, um die Ermittler abzulenken.

Mitarbeiter von Deep Learning Security beobachteten das stetige Wachstum von Mirai-Botnets vor und nach dem Angriff vom 21. Oktober.

Mirai wurde im November 2016 auch bei einem Angriff auf die Internetinfrastruktur Liberias eingesetzt . Laut Computersicherheitsexperte Kevin Beaumont scheint der Angriff von dem Schauspieler ausgegangen zu sein, der auch Dyn angegriffen hat.

Andere bemerkenswerte Vorfälle

Ende November 2016 stürzten etwa 900.000 Router der Deutschen Telekom, hergestellt von Arcadyan, aufgrund gescheiterter TR-064-Ausnutzungsversuche durch eine Variante von Mirai ab, was zu Problemen mit der Internetverbindung für die Benutzer dieser Geräte führte. Während TalkTalk später ihre Router gepatcht hat, wurde eine neue Variante von Mirai in TalkTalk-Routern entdeckt.

Ein britischer Mann, der verdächtigt wird, hinter dem Angriff zu stehen, wurde laut BBC am Flughafen Luton festgenommen .

Identität des Autors

Am 17. Januar 2017 veröffentlichte der Computersicherheitsjournalist Brian Krebs einen Artikel in seinem Blog Krebs on Security, in dem er den Namen der Person preisgab, von der er glaubte, dass sie die Malware geschrieben hat. Krebs erklärte, dass die wahrscheinliche Identität von Anna-senpai (benannt nach Anna Nishikinomiya, einer Figur aus Shimoneta ), der Autorin von Mirai, in Wirklichkeit Paras Jha war, der Besitzer des DDoS-Abwehrdienstunternehmens ProTraf Solutions und ein Schüler von Rutgers Universität . In einer Aktualisierung des Originalartikels antwortete Paras Jha Krebs und bestritt, Mirai geschrieben zu haben. Das FBI soll Jha zu seiner Beteiligung an dem Dyn-Cyberangriff vom Oktober 2016 befragt haben . Am 13. Dezember 2017 haben sich Paras Jha, Josiah White und Dalton Norman schuldig bekannt, Verbrechen im Zusammenhang mit dem Mirai-Botnet begangen zu haben.

Daniel Kaye, 29, auch bekannt als "BestBuy", "Popopret" oder "Spiderman", wurde beschuldigt, "ein infiziertes Netzwerk von Computern, das als Mirai-Botnet bekannt ist, zu nutzen, um die Lloyds Banking Group und Barclays- Banken anzugreifen und zu erpressen ". an die NCA. Laut demselben Bericht wurde er von Deutschland an das Vereinigte Königreich ausgeliefert. Kaye hat sich zudem vor Gericht schuldig bekannt, mehr als 900.000 Router aus dem Netz der Deutschen Telekom gekapert zu haben.

Forscher verweisen auf den Handle-Namen "Nexus Zeta" als verantwortlich für den Autor neuer Varianten von Mirai (betitelt als Okiru, Satori, Masuta und PureMasuta) Am 21. August 2018 hat die Grand Jury Kenneth Currin Schuchman, 20, aka Nexus Zeta, der wissentlich die Übertragung eines Programms, von Informationen, Codes und Befehlen verursacht und als Folge eines solchen Verhaltens vorsätzlich ohne Genehmigung geschützten Computern Schaden zugefügt hat, so die Anklageschrift, die beim US-Bezirksgericht in Anchorage eingereicht wurde , gefolgt von der Festnahme und Prozess gegen den Verdächtigen.

In der Populärkultur

Das Album Four Pieces for Mirai aus dem Jahr 2018 des amerikanischen Elektronikmusikers und Komponisten James Ferraro bezieht sich in seiner fortlaufenden Erzählung auf Mirai .

Siehe auch

Verweise