Wie funktioniert Mirai?
Mirai ist ein Beispiel für Botnet- Malware. Botnet-Malware infiziert einen Computer und öffnet einen Befehls- und Kontrollkanal (C2) zur C2-Infrastruktur eines Angreifers. Dadurch kann der Angreifer Befehle an die Botnet-Malware senden, die diese unter Nutzung der Ressourcen des infizierten Computers ausführt. Bei vielen infizierten Geräten sind Botnetze in der Lage, groß angelegte automatisierte Angriffe wie DDoS oder Credential Stuffing durchzuführen.
Mirai ist eine Form von Malware, die speziell auf IoT-Geräte abzielt und sich dabei den relativ schlechten Zustand der IoT-Sicherheit zunutze macht. Tatsächlich nutzt Mirai die Tatsache aus, dass viele dieser Geräte mit ihren standardmäßigen, schwachen Benutzernamen und Passwörtern bereitgestellt werden. Mit einer kurzen Liste der Standardbenutzernamen und Passwörter für verschiedene IoT-Geräte konnte sich Mirai über Telnet anmelden und sich auf seinem Höhepunkt auf Hunderttausenden IoT-Geräten installieren.
Botnet-Malware ist im Allgemeinen auch darauf ausgelegt, sich selbst zu verbreiten. Im Fall von Mirai war der primäre Infektionsvektor die Anmeldung bei einem anfälligen IoT-Gerät über Telnet. Infolgedessen führten Mirai-Bots regelmäßige Scans nach angreifbaren Zielen durch, die über Telnet erreichbar waren, und übermittelten die Malware an alle identifizierten Ziele.
Wie wird Mirai verwendet?
Botnetze können für verschiedene Zwecke eingesetzt werden. Jeder Angriff, der automatisiert werden kann – etwa ein DDoS- oder Credential-Stuffing-Angriff – kann erheblich ausgeweitet werden, indem Hunderte oder Tausende von Bots ihn parallel ausführen.
Mirai ist ein Beispiel für ein Botnetz, das auf DDoS-Angriffe spezialisiert ist. In der Anfangszeit wurden damit DDoS-Angriffe auf Minecraft-Server zum Zwecke der Erpressung durchgeführt. Seitdem wurde Mirai für hochkarätige Angriffe gegen eine Vielzahl unterschiedlicher Organisationen eingesetzt. Ein hochkarätiger Angriff auf Dyn – ein weit verbreitetes DNS-Profil – führte dazu, dass ein erheblicher Teil des Internets für die Dauer des Angriffs nicht erreichbar war.
Die Anwendung von Mirai wurde dramatisch erweitert, als der Quellcode im September 2016 öffentlich bekannt wurde. Mit Zugriff auf den Quellcode könnten andere Cyberkriminelle die äußerst erfolgreiche Botnet-Malware anpassen, um ihre eigenen Botnets zu erstellen. Dazu gehört die Konfiguration der Malware so, dass sie auf ihre eigene C2-Infrastruktur verweist – was ihr die Steuerung ihrer Angriffe ermöglicht – oder das Hinzufügen zusätzlicher Funktionen wie neuer Infektionsmechanismen oder -fähigkeiten – wie z. B. Credential Stuffing, Cryptojacking oder andere automatisierte Angriffe.
Die Bedrohung durch Mirai
Mirai stellt zahlreiche Bedrohungen für Organisationen und Einzelpersonen dar. Der erste Grund liegt im Hauptzweck des Mirai-Botnetzes, nämlich der Durchführung von DDoS-Angriffen. Ein riesiges Botnetz, das einen Dienst mit einem DDoS-Angriff angreift, hat eine hohe Wahrscheinlichkeit, dass dieser Dienst lahmgelegt wird, es sei denn, es verfügt über robuste Anti-DDoS-Schutzmaßnahmen.
Die Bedrohung durch Mirai wurde durch die Veröffentlichung des Quellcodes verschärft. Mehrere moderne IoT-Botnetze sind Nachkommen von Mirai, die den Quellcode optimiert haben, um die Ziele ihrer Besitzer zu erfüllen. Diese Botnetze stellen ein breiteres Spektrum an Bedrohungen für Unternehmen dar, da sie für Credential Stuffing, Cryptojacking und andere Angriffe über DDoS-Kampagnen hinaus genutzt werden können.
Schließlich stellt Mirai eine Bedrohung für die Besitzer anfälliger DDoS-Geräte dar. Die Malware nutzt die Rechenleistung und Netzwerkbandbreite dieses Geräts, um DDoS-Angriffe durchzuführen. Der Zugriff auf diese Systeme könnte jedoch auch dazu missbraucht werden, deren Besitzer auszuspionieren oder andere Angriffe gegen sie durchzuführen.
So schützen Sie sich vor Mirai-Botnet-Malware
Wie viele andere Botnetze nutzt auch Mirai Schwachstellen in der Sicherheit von IoT-Geräten aus. Zu den bewährten Methoden zum Schutz vor Mirai und seinen Nachkommen gehören die folgenden:
- Passwörter ändern: Mirai verwendet eine Liste von Standardbenutzernamen und Passwörtern, um auf IoT-Geräte zuzugreifen. Ändern Sie vor dem Einsatz eines IoT-Geräts das Passwort oder deaktivieren Sie Standardkonten.
- Update Gerät: Einige Botnet-Malware nutzt Schwachstellen in IoT-Geräten aus, um diese zu infizieren. Durch die zeitnahe Anwendung von Updates und Patches können diese Sicherheitslücken geschlossen werden, bevor sie von Botnet-Malware ausgenutzt werden.
- Netzwerksegmentierung: Anfällige IoT-Geräte stellen ein Sicherheitsrisiko für die Organisationen dar, denen sie gehören. Die Segmentierung von IoT-Geräten vom Rest des Netzwerks kann dazu beitragen, zu verhindern, dass sie von einem Angreifer als Zugriffsvektor genutzt werden.
Mirai-Malware-Schutz mit Check Point
Mirai und andere DDoS-Botnetze stellen ein erhebliches Risiko für die Verfügbarkeit von Unternehmensdiensten und -systemen dar. Ein groß angelegter DDoS-Angriff auf ein Unternehmen kann dieses mit mehr Datenverkehr überfordern, als es bewältigen kann, und es dadurch für legitime Benutzer unzugänglich machen.
Mit dem Quantum DDoS Protector von Check Point können Unternehmen den DDoS-Verkehr in großem Maßstab filtern, DDoS-Angriffe blockieren und legitimen Benutzern den Zugriff auf Unternehmensressourcen und -dienste ermöglichen. Um mehr über die Gefährdung Ihres Unternehmens durch automatisierte Angriffe zu erfahren, nutzen Sie den kostenlosen DDoS-Bot-Analysator-Scan von Check Point.
Feedback