April 21, 2020

IoT Botnetze Teil3 – der Angriff

Im Teil1 ging es um Grundlagen der IoT und darum potentielle Schwachstellen aufzuzeigen. Der Teil 2 befasst sich mit den Angreifern und dem Aufbau eines Angriffs. In diesem Teil wird nun der Ablauf des Angriffs beschrieben.

Die Angriffe werden in zwei Phasen aufgeteilt, die Scan und Take Over Phase und die eigentliche Angriffs Phase. In nahezu allen Fällen kommt dabei ein Command and Control (CNC) Programm zum Einsatz.

Phase1

In der Scan and Takeover Phase läuft zunächst ein Portscan über ein Netzsegment oder IoT Suchmaschinen wie Shodan werden genutzt, um bestimmte Geräte zu finden. Beim Scann sucht das Programm nach offenen Ports, hinter denen ein Daemon auf Verbindunmgsaufbau und Dateneingabe wartet. Oft lässt sich ein Telnet oder Forms Based Login finden. Die Angriffe werden dann mit well known Passwords durchgeführt, Kombinationen, die in vielen der IoT Devices per Default verwendet werden. Um eine Idee der Durchschlgskraft solcher Brute Force Angriffe zu bekommen ist Mirai ein gutes Beispiel:

Mit 61 Kombinationen aus Username und Passwort hat Mirai alleine durch scannen des Telnet Ports über 400.000 IoT Devices übernommen. Von diesen Botnet ging die bislang größte DDoS Attacke weltweit aus.

Ist ein Login erfolgreich läuft ein Scrip, das die IP Adresse des Device zusammen mit den erfolgreich verwendeten Credentials an das CNC sendet. Das CNC läd im Anschluss die Malware auf das Device, die benötigt wird, um den Angriff auszuführen.

Das Device ist nun Teil des Bot Netzes und wartet auf das Kommando die Malware zu aktivieren.

Wieviel Zeit zwischen der Infektion und der Aktivierung vergeht ist unbestimmt. In der Zwischenzeit funktioniert das Device wie gewohnt. Der Besitzer ist daher nicht gewarnt. Es ist für Ihn nahezu unmöglich den Angriff und die Übernahme seines Devices zu bemerken.

Phase2

Wie in Teil1 gezeigt wird ist ein IoT Device meist nicht ein Hochleistungsrechner, eher ein minimalistisch für den Zweck ausgestattetes Gerät. Daher wären Angriffe eines einzelnen oder weniger Geräte kaum beachtenswert. Wie am Beispiel Mirai oben gezeigt, besteht ein Botnetz aus vielen Tausend, wenn nicht vielen Hunderttausend Geräten. Alle unter Kontrolle des CNC bzw. des Hackers hinter dem CNC.

IoT Botnetze werden typischer Weise für zwei Arten von Angriffen eingesetzt, DDoS Angriffe oder Spam Bots.

DoS Angriffe

Bei DoS werden die Zielcomputer mit http oder anderem Traffic bombardiert, bis Sie zusammenbrechen. Der angegriffene Service oder Host werden so sehr effektiv vom Netz genommen. Manchmal dient die „Überlastung“ das auch dazu, dass der eigentliche Angriff erst gestartet werden kann, da dann z.B. Schutzmechanismen des Betriebssystems oder Programms ausfallen oder es möglich wird Schadcode auszuführen. Kommen die Angriffe von einer IP, ist es recht einfach Sie abzuwehren. Die IP wird in der Firewall gesperrt. Das geht inzwischen automatisch.

In einem Botnetz werden anstelle eines Computers oder Clusters hunderttausende von Geräten und IP’s eingesetzt. Man spricht dann von einer Distributed Denial of Service (DDoS) Atacke. Die Abwehr von DDoS Angriffe ist nahezu unmöglich. Der angegriffene Host muss vom Netz genommen werden.

SpamBots

Spam Bots verdienen eine Menge Geld. Die einzige Motivation Spam zu versenden ist, dass der Aufwand viel geringer ist als das damit zu verdienende Geld. Die allermeisten Spam Nachrichten landen im Papierkorb, Links werden nicht aufgerufen und noch viel seltener wird aufgrund einer Spam Mail etwas gekauft. Auf Instagram werden aktuell neue SpamBots eingesetzt, die affiliate Links verwenden, um damit Geld zu machen.

Im Prinzip ist es das gleiche Schema, dass auch bei den DDoS Angriffen zum Tragen kommt. Ein einmal als Spammer identifizierter Host wird auf eine Blacklist gesetzt und fortan werden die Mail (zumindest für Alle, die einen entsprechenden Service in Ihr Mailprogramm eingebunden haben) den User nicht mehr erreichen. Die Spammer setzen daher Bot Netze mit vielen IP Adressen ein. Das Ganze ist ein Katz und Maus Spiel. Immer neue Methoden zur Spam Vermeidung stehen immer neue Ideen gegenüber dem Spam an Filtern vorbei zu bekommen. Schlimmer wird es, wenn eigentlich vertrauenswürdige Geräte, z.B. aus dem eigenen Netz, als SpamBot genutzt werden. Die Ausgrenzung anhand von IP ist dann weitgehend ausgeschlossen.

Wer sehen möchte, was passiert, wenn man auf Spam Mail antwortet, sollte sich dieses Video von James Veitch nicht entgehen lassen.

Neben den hauptsächlichen genannten zwei Angriffen kommen noch zwei weitere nennenswerte vor: Brickers und Cryptomining Bots.

Brickers

Brickers sind Malware Programme, die darauf abzielen den befallenen Host unbrauchbar zu machen. Silex verschafft sich Zugang zu Systemen mittels weichen Passwortes, löscht das Betriebssystem und bootet das Device neu. Da das ohne Betriebssystem nicht funktioniert, ist das Gerät danach unbrauchbar. Sofern man nicht in der Lage ist das Betriebssystem neu zu flaschen, ist es endgültig zerstört. Silex hatte wie auch Brickerbot nur die destruktive Aufgabe ohne daraus irgendeinen Profit machen zu können. Der Entwicker gab an damit verhindern zu wollen, dass die IoT Devices Bestandteil von Botnetzen werden.

Cryptominig Bots

Checkpoint veröffentlich im Blog regelmäßig die Most Wanted Malware. Auch im Oktober 2019 hat diese Art der Malware noch 11% Anteil. In 2018 waren es noch 50%. Cryptominer Bots sind Programme, die im Hintergrund laufen und fortwährend Rechenleistung des Devices abziehen, um Coins zu generieren. Ziel sind dabei vorrangig Smartphones mit entsprechend hoher Rechenleistung.

Virtuell wird physisch

Wichtig ist zu verstehen, dass IoT heute nicht mehr nur Kameras oder andere Gadgets sind. IoT kommt in modernen Fahrzeugen vor, vor allem in den zukünftigen autonom fahrenden. IoT Devices werden zunehmend in der Medizin eingesetzt, kontrollieren Herzschrittmacher und Insulinpumpen ebenso wie die intravenöse Medikamentenzufuhr auf einer Intensivstation. Auch wenn die Geräte hier andere Voraussetzungen bezüglich des Preises haben, bringen sie dennoch die im Teil1 beschriebenen Restriktionen mit sich. Sie sind damit ebenso einfach angreifbar, wie auch andere IoT Geräte.

Im Fall der Übernahme eines solchen Gerätes besteht die unmittelbare Gefahr auch für das Leben oder zumindest die körperliche Unversehrtheit eines Menschen. IoT Security ernst zu nehmen ist daher ein sehr wichtiges Anliegen, dass weit über die virtuelle Welt hinaus Auswirkungen hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

DSGVO Cookie Consent mit Real Cookie Banner