Jetzt auch mobil Kommentieren!

BrickerBot: Verbrannte-Erde-Malware zerstört unsichere IoT-Systeme

Von Christian Kahle am 07.04.2017 14:15 Uhr
43 Kommentare
Unbekannte haben offenbar das Ziel, das Erstarken eines neuen IoT-Botnetzes nach dem Vorbild von Mirai um jeden Preis zu verhindern. Dass ihnen dafür wirklich jedes Mittel recht ist, zeigt sich schlicht daran, dass sie sich die Taktik der verbrannten Erde zu Eigen gemacht haben.

In den Honeypots des Security-Unternehmens Radware verfing sich vor einigen Tagen eine neue Malware, die inzwischen als BrickerBot bezeichnet wird. Deren Funktionsprinzip läuft eigentlich darauf hinaus, unsichere IoT-Geräte im Internet ausfindig zu machen und einfach zu zerstören. Dass es den Autoren dieser Malware mit dem Ziel durchaus ernst ist, zeigt die Tatsache, dass binnen nur weniger Tage auch schon eine zweite, verbesserte Variante des BrickerBot im Einsatz ist.

Die Schädlinge gehen im Netz auf die Suche nach IoT-Systemen mit den typischen unsicheren Telnet-Zugängen. Dafür wird bei einem gefundenen Telnet-Port ein Wörterbuch-Angriff gestartet, der mit den üblichen Kombinationen von Nutzernamen und Passwörtern einen Zugang zu dem jeweiligen Gerät freigeben soll. Auf diese Weise haben sich auch schon die diversen Botnetz-Trojaner verbreitet, die Systeme als Zombies für Mirai und andere Infrastrukturen kaperten.

Lichtinstallation erklärt Trend: Das kann 'Smart Home'

Zack, unbrauchbar

Statt die geöffneten Zugänge nun aber zu eigenen Zwecken zu missbrauchen, starten die BrickerBots verschiedene Kommandos, die das betroffene System quasi zerstören sollen. Hierfür wird erst der Flash-Speicher mit zufällig generierten Daten gefüllt, bis er komplett voll ist und keine neu auftauchenden Codes mehr aufnehmen kann. Anschließend werden die TCP-Timestamps abgeschaltet, wodurch quasi keine Datenverbindungen mehr zustande kommen. Weiterhin wird in den Kernel-Konfigurationen die Zahl der maximal parallel aktiven Threads, von denen es für gewöhnlich einige tausend gibt, auf 1 gesetzt, was faktisch alle Kernel-Aktivitäten beendet. Um die Einstellungen aktiv werden zu lassen, erfolgt anschließend ein erzwungener Neustart. Danach dürfte das betroffene Gerät einfach nicht mehr funktionieren.

Die BrickerBots werden aktuell auf verschiedenen Wegen verbreitet und sollen nach Schätzungen bereits tausende IoT-Systeme mit unsicheren Telnet-Zugängen aus dem Verkehr gezogen haben. Im Ergebnis stehen irgendwo also Nutzer herum, die sich wundern dürften, warum ihre Überwachungskameras, Videorecorder oder Heizungsthermostate nicht mehr funktionieren.
whatsapp
Jede Woche neu: Top-News per E-Mail
43 Kommentare lesen & antworten
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz