{"id":7404,"date":"2023-01-05T12:29:54","date_gmt":"2023-01-05T12:29:54","guid":{"rendered":"https:\/\/network-king.net\/zerobot-malware-update-greift-iot-geraete-an\/"},"modified":"2023-01-06T12:32:40","modified_gmt":"2023-01-06T12:32:40","slug":"zerobot-malware-update-greift-iot-geraete-an","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/zerobot-malware-update-greift-iot-geraete-an\/","title":{"rendered":"Zerobot-Malware-Update greift IoT-Ger\u00e4te an"},"content":{"rendered":"\n

Ende 2023 wurde ein verheerendes Botnet-Update identifiziert: Es nutzt Schwachstellen von Internet-of-Things-Ger\u00e4ten (IoT) aus, um die Kontrolle \u00fcber angegriffene Systeme zu erlangen. Initial hat FortiGuard Labs<\/a> die Zerobot-Malware entdeckt. Seitdem steht das Update unter Beobachtung des Microsoft Defender-Forschungsteams, das mittlerweile mehrfache Aktualisierungen feststellen konnte: Die Version Zerobot 1.1 enth\u00e4lt neue DDoS-Angriffstools (Distributed Denial of Service, also Datenverkehrs\u00fcberflutung) sowie weitreichende Funktionen, die gezielt Schwachstellen bei noch mehr Systemen ausnutzen k\u00f6nnen.<\/p>\n\n\n\n

Zerobot ist in der Sprache Go geschrieben und umfasst mehrere Module, wie z. B. Selbstreplikation, Selbstvermehrung und ein Modul, das sich auf Angriffe mit verschiedenen Protokollen konzentriert. Nach Angaben von Microsoft<\/a> wurde eine Domain mit Links zu Zerobot identifiziert, die DDoS-For-Hire-Services<\/a> in Verbindung stehen, welche bereits im Dezember 2022 vom FBI beschlagnahmt wurde. Microsoft verfolgte sogar Werbeanzeigen des Zerobot-Botnetzes in sozialen Netzwerken: Angeboten wurden der Verkauf und die Wartung der Malware. Zudem bewarb man die Entwicklung neuer Funktionen. Das Unternehmen verfolgt diese Aktivit\u00e4ten mit der Identifikationsnummer DEV-1061.<\/p>\n\n\n\n

Welche Folgen hat nun ein Maleware-Befall? Die Zerobot 1.1-Distribution kann Schwachstellen in Apache und Apache Spark sowie in MiniDVBLinux DVR, Grandstream und Roxy-WI GUI-Systemen ausnutzen. Dar\u00fcber hinaus bringt sie Tools zur Durchf\u00fchrung von DDoS-Angriffen mit. Diese neuen Funktionen erlauben es, bestimmte Ressourcen anzugreifen und f\u00fcr den User unzug\u00e4nglich zu machen. DDoS-Angriffe stehen h\u00e4ufig mit L\u00f6segeldforderungen in Verbindung. Die Crux bei der Sache: Diese Erpressungsversuche lenken die Aufmerksamkeit von anderen b\u00f6sartigen Aktivit\u00e4ten ab und k\u00f6nnen zudem den laufenden Betrieb massiv st\u00f6ren. Die nachfolgende \u00dcbersicht zeigt auf, welche bislang bekannten Wege Zerobot zum Starten von DDoS-Angriffen verwendet \u2013 wie z. B. das Senden von UDP- und TCP-Paketen mit anpassbaren Nutzdaten:<\/p>\n\n\n

\n
\"Verschiedene
Quelle: Microsoft<\/figcaption><\/figure>\n<\/div>\n\n\n

Das Zerobot-Botnet bef\u00e4llt diverse Ger\u00e4te, darunter Firewalls, Router und Kameras, und b\u00fcndelt sie zu einem DDoS-Botnet (Distributed Denial of Service). Es kann m\u00f6gliche Einfallsstellen auf verschiedenen Architekturen, Betriebssystemen und Protokollen infizieren.<\/p>\n\n\n\n

Da sie nahezu immer mit dem Internet verbunden sind und h\u00e4ufig \u00fcber ungepatchte und schlecht gesicherte Systeme verf\u00fcgen, sind IoT-Ger\u00e4te pr\u00e4ferierte Ziele f\u00fcr Zerobot-Malware. Sie verbreitet sich \u00fcber IoT-Routen durch Brute-Force-Angriffe auf Ger\u00e4te mit unsicheren Konfigurationen, indem sie Standard- oder schwachen Anmeldedaten verwendet. Die Malware versucht dabei, durch eine Kombination aus acht g\u00e4ngigen Benutzernamen und 130 Passw\u00f6rtern f\u00fcr IoT-Ger\u00e4te Zugriff auf die Devices zu erhalten.<\/p>\n\n\n\n

Microsoft-Forscher identifizierten mehrere Versuche, SSH- und Telnet-Verbindungen \u00fcber die Standard-Ports 22 und 23 sowie die Ports 80, 8080, 8888 und 2323 zu \u00f6ffnen.<\/p>\n\n\n\n

Um Zugriff auf Ger\u00e4te zu bekommen, schreibt die Zerobot-Malware ein Skript namens zero.sh, das den Schadcode der Malware f\u00fcr eine bestimmte Architektur herunterl\u00e4dt \u2013 und dann versucht auszuf\u00fchren. Auch denkbar ist der Versuch, verschiedene Bin\u00e4rdateien herunterzuladen und die Architektur mit Brute-Force zu identifizieren, da IoT-Ger\u00e4te oft Verarbeitungseinheiten von verschiedenen Plattformen verwenden. Microsoft hat Skripte f\u00fcr Architekturen wie ARM64, MIPS und x86_64 beobachtet. Je nach Betriebssystem der Ger\u00e4te verwendet die Malware andere Persistenzmechanismen und Taktiken, um die Zugriffskontrolle zu erlangen und im Anschluss aufrechtzuerhalten.<\/p>\n\n\n\n

Was ist ein IoT-Botnet?<\/h2>\n\n\n\n

Ein IoT-Botnet ist ein Netzwerk von Ger\u00e4ten, die mit dem Internet der Dinge (IoT) verbunden sind und mit Malware (insbesondere IoT-Botnet-Malware) infiziert wurden, nachdem sie in die H\u00e4nde von b\u00f6swilligen Akteuren gefallen sind. Oft starten Botnets DDoS-Angriffe (Distributed Denial of Service) und werben in Untergrundforen, wodurch sie f\u00fcr Cyberkriminelle leicht zug\u00e4nglich sind.<\/p>\n\n\n\n

In der Regel werden sie von einem einzigen Command and Control (C&C)-Server gesteuert, der mit infizierten Ger\u00e4ten, den so genannten \u201eBots\u201c, verbunden ist. Einige Botnets verzichten jedoch auf den C&C-Server und nutzen Peer-to-Peer-Netzwerke (P2P), wodurch es schwieriger wird, sie auszuschalten. Diese potenzielle Bedrohung wurde bereits Realit\u00e4t: Bis dato wurden f\u00fcnf Familien von IoT-P2P-Botnets identifiziert \u2013 Watch, Hajime, Hide ’n‘ Seek (HNS), Mozi und HEH.<\/p>\n\n\n\n

Trend Micro<\/a> hat drei Haupt-Malware-Codes identifiziert, die in IoT-Botnets verwendet werden und deren Merkmale ihre Natur und ihre typische Funktionsweise verdeutlichen. In der Regel handelt es sich dabei um Open-Source-Code, um die Varianten-Generierung zu erleichtern. Diese drei Klassen von Malware sind:<\/p>\n\n\n\n