Mirai Variant Cross-Compiler Angriffscode mit Aboriginal-Linux

Der Ansatz macht Mirai von einem einzigen Server aus auf einer Vielzahl unterschiedlicher IoT-Geräte und -Plattformen ausführbar.

Kriminelle hinter einem Mirai-Botnet wurden mit einer ungewöhnlichen Technik entdeckt: Die Nutzung eines Open-Source-Projekts namens Aboriginal Linux zur Erstellung einer kompilierten Binärdatei, wobei die Versionen der Malware auf die jeweilige Plattform zugeschnitten sind.

Die Malware-Autoren nutzen Aboriginal - ein legitimes Werkzeug für die Cross-Compilation - um Mirai auf einer Vielzahl von IoT-Geräten und -Plattformen (Internet of Things) ausführbar zu machen, darunter Router, IP-Kameras, angeschlossene Geräte und Android-Geräte.

"Einer der wichtigsten Punkte für ein plattformübergreifendes IoT-Botnetz ist die Portabilität", schrieb Dinesh Venkatesan, leitender Ingenieur für die Bedrohungsanalyse bei Symantec, in einem Artikel am Donnerstag. "Die Malware muss auf verschiedenen Architekturen und Plattformen in einer in sich geschlossenen Kapsel ohne Laufzeitüberraschungen oder Fehlkonfigurationen laufen können. Dies ist auch ein Bereich, in dem viele unerfahrene Malware-Autoren oder Skript-Kiddies scheitern, wenn sie die vorhandene Malware-Codebasis einfach kopieren/einfügen und wiederverwenden.

Die Verwendung von Aborigines "macht den Prozess einfach, effektiv und praktisch ausfallsicher", fügte er hinzu.

Venkatesan fand Ende Juli einen Live-Fernserver, auf dem mehrere Mirai-Varianten, jede für eine bestimmte Plattform, gehostet werden. Er sah, dass der Server ein Shell-Skript auf anfällige Geräte richtete, das dann begann, eine Reihe einzelner ausführbarer Dateien herunterzuladen und auszuführen, bis eine gefunden wurde, die in der Lage war, die spezifische Plattform zu infizieren. Diese Datei wiederum lud die Mirai-Nutzlast herunter.

Die erfolgreich ausgeführte ausführbare Datei ist für die eigentliche Mirai-Nutzlast verantwortlich, z.B. die Aufzählung einer Liste von IP-Adressen durch die Erstellung einer Liste von Zufallsadressen und die Suche nach Geräten mit Standard-Anmeldeinformationen oder Schwachstellen. So könnte dasselbe Botnetz beispielsweise eine ARM7-Malware-Variante verwenden, die auf einem Android-Gerät läuft, sowie eine Variante, die Debian-ARM verwendet.

Die Funktionalität ist laut Venkatesan ansonsten Standard-Mirai-Tarif.

"Als ich zum Beispiel das Beispiel in einer geschlossenen Umgebung ausführte, versuchte es, mehr als 500.000 IP-Adressen zu scannen, die durch den zuvor beschriebenen Zufallsgenerator-Prozess generiert wurden, und versuchte dann, rohe Paketdaten über Port 23 zu senden", sagte er.

Die Entdeckung markiert eine weitere Entwicklung von Mirai - die Malware hat sich verändert und verfeinert, seit ihr Quellcode 2016 durchgesickert ist, kurz nachdem sie mit einem DDoS-Angriff auf den Schauplatz geplatzt war, der den DNS-Provider Dyn ausgeschaltet und große Websites wie Spotify, Reddit und Twitter offline geschaltet hat. Er war auch für einen DDoS-Angriff mit 620 Gbps auf Krebs on Security verantwortlich und nahm sogar die gesamte Nation Liberia für eine Weile vom Netz.

So wurde beispielsweise im April ein Mirai-Botnet verwendet, um eine Reihe von DDoS-Kampagnen gegen den Finanzsektor zu starten, wobei die relativ geringe Anzahl von 13.000 entführten IoT-Geräten genutzt wurde (viele IoT-Botnets gibt es an Millionen von Endpunkten). Der bemerkenswerte Aspekt waren die Eigenschaften, die es mit dem IoTroop-Botnetz (alias Reaper) verbinden, das im Oktober 2017 erstmals identifiziert wurde. Der IoTroop-Code ermöglicht es, die Malware während des Betriebs zu aktualisieren.

Inzwischen hat seine Taktik, anfällige IoT-Geräte zu arrangieren, es Mirai und seinen vielen Varianten ermöglicht, mit zunehmender Regelmäßigkeit anzugreifen.

"Der IoT-Markt ist ohnehin schon stark fragmentiert, und die meisten Geräte erhalten keine Software-Patches für die bekannten Schwachstellen", so Venkatesan. "Zu allem Überfluss entwickeln die Malware-Autoren diese Varianten weiter und machen die Malware so leistungsfähiger und portabler über verschiedene Plattformen und Architekturen hinweg.

Anzeige

Anzeige