Drucksache: Entwickler Magazin 1.17 - IoT-Botnets legen das Web lahm
Im Entwickler Magazin 1.17 ist ein Artikel über Angriffe auf das IoT und das aus kompromittierten IoT-Geräten aufgebaute Botnet "Mirai" erschienen.
Sowohl Botnets als auch DDoS-Angriffe gibt es schon seit langem. Inzwischen haben die Cyberkriminellen das IoT für sich entdeckt, und ihre daraus aufgebauten Botnets für DDoS-Angriffe in bisher ungeahnten Ausmaßen genutzt.
In den vergangenen nicht mal 3 Monaten haben die IoT-Botnets ihre Größe und auch ihre Gefährlichkeit gezeigt. Das eskalierte ja ziemlich schnell. Vor allem, wenn man bedenkt, dass Mirai erstmals Anfang August entdeckt wurde. Die Veröffentlichung des Sourcecodes Ende September dürfte stark zur Verbreitung der Bots beigetragen haben. Was die davon ausgehende Gefahr vervielfacht, denn schon das ursprüngliche Mirai-Botnet brachte Akamai gewaltig ins Schwitzen, und jetzt gibt es gleich mehrere davon.
Wenn Sie nicht wollen, dass Ihre IoT-Geräte Opfer eines Angriffs werden, müssen Sie sie schnellstmöglich sicher konfigurieren. Oft werden Sie dabei feststellen, dass sich die Geräte gar nicht absichern lassen, denn bei vielen ist eine sichere Konfiguration schlicht nicht vorgesehen. Die kann man dann eigentlich nur noch entsorgen, denn was soll man mit einem IoT-Gerät ohne Internet? Und damit kann man sie ja nicht mehr verbinden. Nicht nur wegen des möglichen Missbrauchs für DDoS-Angriffe, sondern auch wegen der möglichen anderen Angriffe darauf und darüber. Denn ein kompromittiertes IoT-Gerät kann z.B. auch als Einfallstor ins lokale Netz dienen.
Vor dem Entsorgen sollten Sie aber prüfen, ob Sie nicht evtl. Garantie- oder Gewährleistungsansprüche gegenüber Verkäufer oder Hersteller haben. Generell und erst recht angesichts der laufenden Angriffe dürfte ein nicht sicher zu konfigurierendes IoT-Gerät kaum als mangelfrei gelten.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Presseerklärung auf Marketwire, 16.1.2014: "Proofpoint Uncovers Internet of Things (IoT) Cyberattack"
- [2] Paul Thomas, Symantec, 23.1.2014: "Despite the News, Your Refrigerator is Not Yet Sending Spam"
- [3] Brian Krebs; Krebs on Security, 10.9.2016: "Alleged vDOS Proprietors Arrested in Israel"
- [4] Brian Krebs; Krebs on Security, 8.9.2016: "Israeli Online Attack Service 'vDOS' Earned $600,000 in Two Years"
- [5] Brian Krebs; Krebs on Security, 20.9.2016: "DDoS Mitigation Firm Has History of Hijacks"
- [6] Carsten Eilers: "BGP - so gefährdet wie nie"; PHP Magazin 2.2016
- [7] Brian Krebs; Krebs on Security, 21.9.2016: "KrebsOnSecurity Hit With Record DDoS"
- [8] Brian Krebs, @briankrebs auf Twitter, 22.9.2016: "It's looking likely that KrebsOnSecurity will be offline for a while. Akamai's kicking me off their network tonight."
- [9] Brian Krebs, @briankrebs auf Twitter, 23.9.2016: "Before everyone beats up on Akamai/Prolexic too much, they were providing me service pro bono. So, as I said, I don't fault them at all."
- [10] Brian Krebs, @briankrebs auf Twitter, 22.9.2016: "i can't really fault Akamai for their decision. I likely cost them a ton of money today."
- [11] Brian Krebs; Krebs on Security, 25.9.2016: "The Democratization of Censorship"
- [12] Octave Klaba, @olesovhcom auf Twitter, 20.9.2016: "we got 2 huge multi DDoS: 1156Gbps then 901Gbps"
- [13] Octave Klaba, @olesovhcom auf Twitter, 22.9.2016: "Last days, we got lot of huge DDoS. Here, the list of "bigger that 100Gbps" only. You can see the simultaneous DDoS are close to 1Tbps !"
- [14] Octave Klaba, @olesovhcom auf Twitter, 23.9.2016: "This botnet with 145607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn."
- [15] Octave Klaba, @olesovhcom auf Twitter, 26.9.2016: "+6857 new cameras participated in the DDoS last 48H."
- [16] Octave Klaba, @olesovhcom auf Twitter, 28.9.2016: "+15654 new cctv participated in the DDoS last 48H."
- [17] Octave Klaba, @olesovhcom auf Twitter, 29.9.2016: "> +18000 new cctv participated in the DDoS last 24H. Thanks for the "dynamic IP address" with xDSL/Cable/FTTH .."
- [18] Octave Klaba, @olesovhcom auf Twitter, 26.9.2016: "@iblametom we are talking about the same botnets: GRE 550Gbps. TCP/ACK packet size 1440 400Gbps. TCP/ACK-PSH 200Gbps. TCP/SYN 200Gbps"
- [19] Brian Krebs; Krebs on Security, 1.10.2016: "Source Code for IoT Botnet ‘Mirai’ Released"
- [20] jgamblin/Mirai-Source-Code auf GitHub
- [21] Level 3 Threat Research Labs; Beyond Bandwidth Blog, 25.8.2016: "Attack of Things!"
- [22] Matthew Bing; Arbot Networks Blog, 29.6.2016: "The Lizard Brain of LizardStresser"
- [23] ASERT Team; Arbot Networks Blog, 31.8.2016: "Rio Olympics Take the Gold for 540gb/sec Sustained DDoS Attacks!"
- [24] Liron Segal; F5 Features, 7.10.2016: "Mirai: The IoT Bot That Took Down Krebs and Launched a Tbps DDoS Attack on OVH"
- [25] Igal Zeifman, Dima Bekerman, Ben Herzberg; Incapsula Blog, 26.10.2016: "Breaking Down Mirai: An IoT DDoS Botnet Analysis"
- [26] Marek Majkowski; Cloudflare Blog, 11.10.2016: "Say Cheese: a snapshot of the massive DDoS attacks coming from IoT cameras"
- [27] Brian Krebs; Krebs on Security, 3.10.2016: "Who Makes the IoT Things Under Attack?"
- [28] Mirai-Source-Code/scanner.c auf GitHub
- [29] Zach Wikholm; Flashpoint, 7.10.2016: "When Vulnerabilities Travel Downstream"
- [30] Level 3 Threat Research Labs, 18.10.2016: "How the Grinch Stole IoT"
- [31] Brian Krebs; Krebs on Security, 19.10.2016: "Spreading the DDoS Disease and Selling the Cure"
- [32] Dyn Inc. Status, 21.10.2016: "DDoS Attack Against Dyn Managed DNS"
- [33] Brian Krebs; Krebs on Security, 21.10.2016: "DDoS on Dyn Impacts Twitter, Spotify, Reddit"
- [34] Flashpoint Blog, 21.10.2016: "Mirai Botnet Linked to Dyn DNS DDoS Attacks"
- [35] Allison Nixon, John Costello, Zach Wikholm; Flashpoint Blog, 25.10.2016: "An After-Action Analysis of the Mirai Botnet Attacks on Dyn"
- [36] Scott Hilton; Dyn Blog, 26.10.2016: "Dyn Analysis Summary Of Friday October 21 Attack"
- [37] Johannes B. Ullrich; ISC Diary, 24.10.2016: "A few Mirai Updates: MIPS, PPC version; a bit less scanning"
- [38] Brian Krebs; Krebs on Security, 24.10.2016: "IoT Device Maker Vows Product Recall, Legal Action Against Western Accusers"
- [39] Symantec Security Response; Symantec Official Blog, 22.9.2016: "IoT devices being increasingly used for DDoS attacks"
- [40] Brian Krebs; Krebs on Security, 13.10.2016: "IoT Devices as Proxies for Cybercrime"
- [41] Attila Marosi; Sophos: "Cryptomining malware on NAS servers" (PDF)
- [42] Johannes B. Ullrich; ISC Diary, 2.10.2016: "The Short Life of a Vulnerable DVR Connected to the Internet"
- [43] Symantec Security Response; Symantec Official Blog, 27.10.2016: "Mirai: what you need to know about the botnet behind recent major DDoS attacks"
- [44] Eric Kobrin; The Akamai Blog, 12.10.2016: "When Things Attack"
- [45] Ezra Caltum, Ory Segal; Akamai Threat Research: "SSHowDowN - Exploitation of IoT devices for Launching Mass-Scale Attack Campaigns" (PDF)
- [46] Elliott Peterson, Michael Sandee, Tillmann Werner; Black Hat USA 2015: "GameOver Zeus: Badguys and Backends" (Video YouTube)
- [47] Malware Must Die!, 31.8.2016: "MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled.."
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2
Vorschau anzeigen