Mirai Botnet Malware: Definition, Auswirkungen und Entwicklung

Mirai Malware verwandelt vernetzte Geräte wie Babymonitore und Türklingeln in eine Armee, die Hacker aus der Ferne steuern können. Das sogenannte Mirai-Botnet kann Websites, Server und andere wichtige Assets tagelang lahmlegen.

Ein großer Cyberangriff im Oktober 2016 steht im Zusammenhang mit der Mirai-Malware. Aber die Bedrohung ist noch nicht vorbei. Die Mutationen des Mirai-Virus dauern auch jetzt noch an.

Was ist das Mirai-Botnetz?

Das Mirai-Botnet besteht aus einem Gerät, das eine Verbindung zu einer Internetadresse herstellen kann. Jedes Gerät wendet sich an einen zentralen Server, der den Angriff leitet. 

Schauen wir uns die Teile dieser Bedrohung an:

• Gerät: Vernetztes Internet der Dinge (IoT) Geräte verfügen über abgespeckte Betriebssysteme und können eine Verbindung zum Internet herstellen. Sie werden oft ab Werk mit voreingestellten Benutzernamen ausgeliefert und die Passwortbesitzer ändern sich selten. 
• Infektion: IoT Gerät haben offene Telnet-Ports. Mirai Malware Developer sucht nach diesen offenen Ports und versucht, sich mit 61 Benutzername/Passwort-Kombinationen anzumelden, die oft als Standardeinstellungen verwendet werden. 
• Malware: Wenn die Anmeldung abgeschlossen ist, lädt das Gerät Malware herunter und implementiert sie.
• Botnet: Alle IoT Geräte mit der Malware sind Teil eines Netzwerks (oder Botnets), das gemeinsam an einem vom Hacker festgelegten Ziel arbeitet. 

Die erste Iteration des Mirai-Botnets war ein lukrativer Wurm, der von zwei Eigentümern eines DDoS-Abwehrunternehmens entwickelt wurde. Im Wesentlichen infizierten sie die Ziele und forderten dann die Besitzer auf, sie für den "Schutz" vor demselben Angriff zu bezahlen. 

Die Idee wurde durch Minecraft entfacht. Die Spieler loggen sich auf einem gehosteten Server ein und tätigen während sie in der virtuellen Welt aktiv sind, Einkäufe in der realen Welt, um ihre Spielzeit zu verlängern. Wenn Sie einen Hosting-Server offline schalten, kann dies den Verlust von Tausenden von Dollar bedeuten. Die Opfer waren bereit, zu zahlen, um online zu bleiben.

Aber der Mirai-Botnet-Entwickler hat begonnen, seine Angriffsfläche zu erweitern. Was als Idee begann, mit der die Minecraft-Realität dominiert wurde, wurde zu einem Werkzeug, das fast jedem schaden kann.

Wie funktioniert Mirai-Malware?

Wenn ein IoT Gerät mit Mirai-Malware infiziert ist, kann die IT-Abteilung winzige Angriffe gegen ein ausgewähltes Opfer starten. Aber wenn Tausende von IoT Geräten infiziert sind, sind die Auswirkungen nicht zu ignorieren.

Ein infiziertes IoT-Gerät kann:

• Zugang. Das Gerät wendet sich an einen zentralen Server, um Anweisungen zu erhalten. Dann beginnt die IT-Abteilung, immer wieder nach Zugriff auf einen bestimmten Server zu fragen. 
• Wieder anstecken. Das Ausschalten des Geräts kann bedeuten, dass ein Angriff und die Malware gestoppt werden. Wenn der Port jedoch offen bleibt, kehrt das Problem mit neuem Quellcode zurück. 
• Dominieren. Jegliche andere Malware auf dem Gerät wird entfernt, sodass nur noch die Mirai-Malware ausgeführt wird. 
• Verstecken. IoT-Besitzer bemerken möglicherweise eine leichte Trägheit und nicht mehr. 

Die Mirai-Malware war im Oktober 2016 an einem Cyberangriff beteiligt. Das Botnetz hat sich an eine Website von Dun gewandt, die DNS-Dienste anbietet. Das Unternehmen hostete namhafte Websites, darunter Wired. Als die IT aufgrund des überwältigenden Datenverkehrs durch IoT Geräte ausfiel, kam es auch an weiten Teilen der Ostküste zu Ausfällen. Ganze Unternehmen mussten wegen fehlender Konnektivität übers Wochenende schließen. 

Die Behörden schalteten sich ein, und der Mirai-Botnet-Entwickler geriet in Panik. In Eile, sich zu schützen, veröffentlichten sie den Mirai-Quellcode. Der Entwickler hoffte, dass ein breiter Zugriff auf den Code sie schützen könnte. Im Wesentlichen konnten sie behaupten, dass jeder den Code kannte und sie IT von woanders bekamen. 

Leider stellte die Veröffentlichung des Codes sicher, dass diese Angriffe in einigen Formularen für immer bestehen blieben.

Mirai-Bot verändert sich mit der Zeit

Sobald der Quellcode veröffentlicht war, begannen Hacker, ihn zu optimieren, anzupassen und zu experimentieren. Die Angriffe, die sie starteten, waren verheerend. 

Im Jahr 2017 ermöglichte eine neue Variante es Developer beispielsweise, Heimrouter zu infizieren, die mit starken Passwörtern gesichert waren. Als Experten die IT entdeckten, war das Botnet in schätzungsweise 100.000 Geräten enthalten, die alle einsatzbereit waren, als der Entwickler Anweisungen gab. 

Dies ist nur ein Beispiel von vielen. Solange IoT Gerät auch nur leicht unsicher bleiben, dürften weitere Varianten auftauchen.

Warum können wir das Mirai-Botnet nicht stoppen?

Wir wissen, wie die Mirai-Malware funktioniert, und wir verstehen, wie das Gerät uns schaden kann. Die Ausrottung scheint ein vernünftiger nächster Schritt zu sein, ist aber leider schwer zu erreichen.

Der Mirai-Wurm besteht aufgrund von:

• Geringes Verbraucherinteresse. Ein infiziertes Gerät funktioniert noch einigermaßen gut und stellt für den Besitzer keine Gefahr dar. Die Leute fühlen sich nicht gezwungen, an Dingen, die zu funktionieren scheinen, etwas zu ändern.
• Schlechte Einhaltung durch den Hersteller. Kostenbedenken halten die meisten Fertigungsunternehmen davon ab, in Sicherheit zu investieren. Je reduzierter das Gerät, desto niedriger der Preis. 
• Keine übergreifende Einsicht der Regierung. In einigen Bundesstaaten gibt es Gesetze zur IoT-Sicherheit. In Kalifornien muss beispielsweise IoT Gerät mit eindeutigen Passwörtern ausgeliefert werden, oder Hersteller müssen vom Benutzer verlangen, dass er ein Passwort festlegt, bevor er beginnt. Es gibt jedoch keine Bundesgesetze oder globale Gesetze, die eine weitgehende Einhaltung gewährleisten. 
• Unzureichende Fähigkeiten. Einige Unternehmen bieten Sicherheitspatches für ihr Gerät an. Aber einige Leute sind sich nicht sicher, wie sie sie auf ihr angeschlossenes Gerät anwenden sollen, und andere haben keine Ahnung, dass diese Patches existieren. 

Solange wir in einer Welt leben, die von vernetzten Geräten und schlechten Sicherheitspraktiken geprägt ist, wird die Mirai-Bedrohung wahrscheinlich bestehen bleiben.

Was können Sie tun, um den Mirai-Wurm zu stoppen?

Mirai Malware wird im Gerätespeicher gespeichert. Ein Neustart Ihres Geräts, indem Sie die IT vom Stromnetz trennen und die IT für einige Augenblicke auf diese Weise belassen, reicht in der Regel aus, um einen laufenden Angriff zu stoppen und Ihr Gerät zu reinigen.

Wenn Sie jedoch Ihren Gerätebenutzernamen und Ihr Passwort nicht ändern, ist eine erneute Infektion wahrscheinlich. Sobald Sie neu starten, ändern Sie diese Einstellungen. Wiederholen Sie dies oft, um die beste Chance auf Schutz zu haben. Wenn Sie sich nicht sicher sind, wie Sie diese Schritte ausführen sollen, wenden Sie sich an den Gerätehersteller, um Hilfe zu erhalten. 

Erwarten Sie nicht, dass der Hersteller Firmware-Updates installiert. Automatische Änderungen der Sicherheitseinstellungen können Ihr Gerät anfällig für Man-in-the-Middle-Angriffe machen.

Referenzen

Wer ist Anna-Senpai, die Autorin des Mirai-Wurms? (Januar 2017). Krebs über Sicherheit. 

Quellcode für IoT-Botnet 'Mirai' veröffentlicht. (Oktober 2016). Krebs über Sicherheit. 

Was wir über den massiven Internetausfall an der Ostküste am Freitag wissen. (Oktober 2016). Kabelgebunden. 

Ein 100.000 Mann starkes Botnet, das auf dem Router 0-Day aufgebaut ist, kann jederzeit zuschlagen. (Dezember 2017). Ars Technica. 

IoT-Hersteller: Was Sie über das kalifornische IoT-Gesetz wissen müssen. (Januar 2020). Die Überprüfung des nationalen Rechts. 

Durchgesickerte Mirai-Malware erhöht die Bedrohungslage hinsichtlich der IoT-Sicherheit. (Oktober 2016). Sicherheitsinformationen.