Gelegentlich brechen Artikel über einzigartige Bots und Botnets an die Oberfläche der Sicherheitsnachrichten. Letzte Woche gab es ein Beispiel, als eine Entdeckung von Bitdefender über die Existenz von „dark_nexus“ von Arstechnica, ZDNet und anderen berichtet wurde. Dieses spezielle Botnetz ist bemerkenswert, weil es eine ungewöhnlich große und vielfältige Gruppe nicht verwalteter IoT-Geräte versklavt (es wurde für 12 verschiedene CPU-Architekturen kompiliert) und die Persistenz auch nach einem Neustart beibehält. Zu den IoT-Opfern zählen Router verschiedener Hersteller (Dasan Zhone, Dlink, ASUS) sowie Videorecorder und Wärmebildkameras.
Frühere Beispiele sind die Botnets, die durch die Malware „itsoknoprobblembro“ gebildet wurden und 2013 bei Angriffen auf US-Finanzinstitute verwendet wurden. Das vielleicht bekannteste Botnetz, das Schlagzeilen machte, ist Mirai, dessen Quellcode beim Angriff auf Dyn 2016 verwendet wurde aus großen Teilen des Internets in den USA und darüber hinaus. Die Artikel der letzten Woche warnen davor, dass Dark-Nexus ein größeres und leistungsfähigeres IoT-Botnetz sein könnte als Mirai.
Was ist ein Botnetz? Im Allgemeinen ist ein Botnetz eine Gruppe von Geräten, die auf irgendeine Weise kompromittiert, miteinander vernetzt und dann entweder von ihren „Kommandanten“ verwendet oder im Dunkeln an andere Bedrohungsakteure verkauft / vermietet wurden, um verschiedene schändliche Angriffe auszuführen. Die wahrscheinlich häufigsten Angriffe, für die Botnets verwendet werden, sind DDoS-Angriffe (Distributed Denial of Service). Andere häufige Anwendungen für Botnets sind Cryptomining- und Credential-Stuffing-Angriffe. DDoS-Angriffe sind einfach Kampagnen, die versuchen, Websites offline zu schalten, indem sie mit mehr „Treffern“ oder http-Anforderungen überfordert werden, als der Webserver verarbeiten kann. Das Wort „verteilt“ bezieht sich auf die Tatsache, dass die Anforderungen von jeder Ecke des Internets kommen und nicht von einem einzelnen IoT-Gerät, Desktop oder Server.
Die frühesten DDoS-Angriffe wurden normalerweise von chaotischen Akteuren ausgeführt, die sich einfach über Message Boards miteinander koordinierten – sie wurden verteilt, aber hinter jedem der PCs oder Server befanden sich immer noch Menschen, die Treffer auf Webservern starteten. Die Angriffe wurden hauptsächlich zum Spaß oder aus politischen oder kulturellen Gründen gestartet. Spätere DDoS-Angriffe wurden jedoch fast ausschließlich von Botnetzen betrieben. Die Angriffe auf US-Banken im Jahr 2013 wurden zum Beispiel größtenteils von „Command and Control“ – oder CC-Servern gestartet, die Tausende von Servern in Serverfarmen weltweit versklavt hatten, was sie um eine Größenordnung größer und leistungsfähiger machte als frühere Angriffe – und also viel gefährlicher.
Die Mirai-Angriffe waren wiederum um eine Größenordnung oder Größenordnung größer als die Angriffe von 2013, da sie anstelle der Versklavung von Servern Zehntausende von IoT-Geräten wie Router und CCTV-Kameras versklavten. Dies stellte einen beunruhigenden Präzedenzfall dar, da IoT-Geräte zunehmend allgegenwärtig sind, da sie Unternehmen die Möglichkeit bieten, neue Einnahmequellen zu generieren, die Produktivität zu verbessern und Kosten zu senken. IoT-Botnets sind, wie die Schlagzeilen der letzten Woche gezeigt haben, ebenfalls unvermeidlich allgegenwärtig. Und wie oben erwähnt, werden sie nicht nur für DDoS-Angriffe verwendet. Es gibt tatsächlich nur sehr wenige Grenzen, für welche Bedrohungsakteure IoT-Botnets verwendet werden können und werden, wenn sie immer verfügbarer werden.
Monate vor Mirai entdeckte das CyberX-Team für Bedrohungsinformationen (Abschnitt 52) das Strahlungsbotnetz. Die Radiation-Malware, die auf Überwachungskameras abzielt, die üblicherweise in Unternehmens- und Industrieumgebungen verwendet werden, war weitaus ausgefeilter als Mirai, da sie eine Zero-Day-Sicherheitsanfälligkeit in IoT-Geräten ausnutzte und nicht wie Mirai offene Ports und Standardanmeldeinformationen. CyberX identifizierte 25.000 von Radiation kompromittierte Geräte mit Internetzugang und stellte fest, dass Cyberkriminelle diese massive Botnet-Armee zur Bereitstellung von DDOS-for-Hire-Diensten verwendeten.
Die Mirai-Angriffe dienten als Weckruf für alle, die Sicherheit in Unternehmens- oder Industrieumgebungen ausführen, da Sicherheitspraktiker nicht möchten, dass ihre IT- oder IoT-Netzwerke nicht bereit sind, an Angriffen teilzunehmen oder Beiträge zu leisten, bei denen Netzwerke oder Server offline geschaltet werden, insbesondere diejenigen, die kritische Daten steuern Infrastruktur, Banken oder das Internet selbst. Die Herausforderung, insbesondere bei IoT-Geräten und -Netzwerken, besteht darin, dass IoT-Geräte selbst schwer zu schützen sind, da sie keine Agenten ausführen können, häufig Standardkennwörter verwenden, normalerweise nicht gepatcht werden können – und für die IT unsichtbar sind. Die Entdeckung von Dark-Nexus ist daher ein weiterer Weckruf – ein Espresso-Schuss – für die Guten, die bereits von Mirai geweckt wurden.
Was ist zu tun?
Die Lösung ist nicht einfach und kann oft das Gefühl hervor rufen, ein Maulwurfsspiel zu spielen. Der Kampf gegen die Botnetze erfordert Zeit, Ausdauer und Standhaftigkeit. Aber der Kampf beinhaltet im Allgemeinen Folgendes:
Erstens: Ermitteln und klassifizieren Sie zunächst alle IoT-Geräte in Ihrem Netzwerk (vorausgesetzt, Sie haben dies bereits für Ihre IT-Geräte getan).
Zweitens: Ordnen und mindern Sie die Schwachstellen in Ihren IoT-Geräten und -Netzwerken, z. B. durch Patchen und Ändern schwacher oder Standardanmeldeinformationen. Im Fall von dark_nexus nutzten die Angreifer beispielsweise das Füllen von Telnet-Anmeldeinformationen und bekannte Exploits, um IoT-Geräte zu gefährden.
Drittens: segmentieren Sie IoT-Geräte aus anderen Netzwerken, um es Angreifern zu erschweren, sich seitlich in Ihren Unternehmensnetzwerken zu bewegen.
Viertens: Überwachen Sie kontinuierlich den Datenverkehr zwischen diesen Geräten, damit Sie feststellen können, wann und ob sie sich schlecht verhalten.
Ergreifen Sie schließlich Maßnahmen, um Geräte zu stoppen, die schlechte Dinge tun, z. B. die automatische Quarantäne, wenn Ihre Überwachungslösung feststellt, dass sie kompromittiert wurden.
Die Schlagzeilen der letzten Woche sind ein Beweis dafür, dass Bedrohungsakteure weiterhin auf IoT-Netzwerke abzielen werden. Wenn Sie nach genaueren Anleitungen zum Schutz Ihrer IoT-Geräte und -Netzwerke vor Bedrohungen suchen – einschließlich Botnetzen wie dark_nexus -, lesen Sie unseren Enterprise IoT-Einkaufsführer, in dem die Risiken nicht verwalteter IoT-Geräte zusammengefasst und die wichtigsten Funktionen beschrieben werden müssen eine effektive IoT-Sicherheitslage aufbauen.
Quelle: CyberX-Labs