GlobalSign Blog

07 Nov 2017

Das Reaper Botnet ist unerbittlich

Pünktlich zu Halloween gibt es ein neues Botnet, das dem gewaltigen Mirai vom letzten Jahr erschreckend ähnlich ist - Reaper. Obwohl es ähnlich ist, befürchtet man, Reaper könnte sich als viel mächtiger erweisen.

Mirai übernahm Geräte mit standardmäßigen oder schwachen Authentifizierungs-Berechtigungsnachweisen und nutzte diese, um DDoS-Angriffe gegen den DNS-Anbieter Dyn zu steuern, was vorübergehend den Zugriff auf Top-Websites wie Amazon, Twitter und Spotify verhinderte. Anstatt auf schwache Passwörter zu zielen, konzentriert sich Reaper auf das Ausnutzen von Schwachstellen von IoT-Geräten. Dies ist der Grund, warum Forscher bei Netlab 360 es als "Reaper" oder "IoT-Reaper" bezeichnen.

Bisher hat Reaper Geräte wie IP-Kameras von GoAhead, D-Link, TP-Link, AVTECH, Netgear, MikroTik, Linksys und Synology ins Visier genommen.

Die Sicherheitsfirma Check Point Research hat Reaper ebenfalls sehr aufmerksam verfolgt und ihre Ergebnisse Ende letzter Woche in einem Blog Post bekannt gegeben. Das Unternehmen schätzt, das zu dem Zeitpunkt mindestens 1 Million Unternehmen weltweit infiziert wurden, darunter USA, Australien "und überall dazwischen, und die Zahl nimmt stetig zu."

Obwohl einige der technischen Aspekte von Reaper dazu geführt haben, dass Check Point eine mögliche Verbindung zu Mirai vermutet, glaubt das Unternehmen, dass es sich um einen völlig neuen und weitaus anspruchsvolleren Feldzug handelt, der sich rasant weltweit ausbreitet. Es ist an diesem Punkt auch nicht klar, was die Absichten des Angreifers sind.

Ein anderer Sicherheitsanbieter, Qihoo 360 aus China, ist der festen Überzeugung, dass das Botnet einen Teil des Codes von Mirai entlehnt hat. Qihoo360 sagte auch, dass sie vermuten, dass, während sich Reaper noch in seinem Anfangsstadium befindet, wer auch immer der Bösewicht ist, der dahinter steckt, weiterhin den Code aktiv modifizieren und weitere Exploits hinzufügen wird. Das Unternehmen entdeckte einen Fall, bei dem in nur zwei Tagen ein Exploit für einen Netzwerk-Videorekorder von Vacron in Reaper integriert wurde.

Was kommt als nächstes bei Reaper?

Quihoo360 behauptet, dass Reaper sich selbst weiterverbreitet, während Check Point sagt, dass sie herausgefunden haben, dass zahlreiche Geräte sowohl gezielt angegriffen wurden als auch später die Infektion weitergaben. Diese Angriffe kamen von vielen verschiedenen Gerätetypen und aus vielen verschiedenen Ländern und machen etwa 60% der Unternehmensnetzwerke aus, die Teil des globalen ThreatCloud-Netzwerks von Check Point sind.

Check Point sieht dies auch als Ruhe vor dem Sturm - obwohl kompromittierte Geräte noch nicht für einen DDoS-Angriff verwendet wurden, wird dies wahrscheinlich kommen.

Ein weiterer Grund für eine starke Geräteidentität und Sicherheit durch Design

Reaper befindet sich noch in einem frühen Stadium. Aber da Unternehmen aus früheren Botnet-DDoS-Angriffen gelernt haben, die das Internet stillgelegt haben, ist es äußerst wichtig, dass Unternehmen die richtigen Vorbereitungen treffen und Abwehrmechanismen eingerichtet werden, bevor ein Angreifer zuschlägt.

Gemäß unserer letzten Liste von Vorschlägen, wie Gerätehersteller Botnets verhindern können (die wir nach dem Mirai-Angriff im letzten Jahr zusammengestellt haben - die Geschichte wiederholt sich leider in diesem Fall), sollte Folgendes dazu gehören:

  • Beschränken des Fernzugriffs auf Geräte.
  • Wenn Sie Remote-Zugang benötigen, implementieren Sie eine starke Geräteauthentifizierung: Starke, eindeutige Passwörter für jedes Gerät, und idealerweise einen zweiten Authentifizierungsfaktor verwenden.
  • Starke Authentifizierung für administrative Benutzer und Dienste verwenden.
  • Nur autorisierte Software- und Firmwareupdates zulassen. Eine Logik einbeziehen, um alle Updates, die auf das Gerät übertragen werden, zu verifizieren. Dadurch kann verhindert werden, dass nicht vertrauenswürdiger Code, wie der von Mirai und Reaper, installiert wird.

Diese Vorsichtsmaßnahmen müssen von Anfang an berücksichtigt und eingebaut werden. Wenn dies in einem größeren Umfang geschieht, werden IoT-Systeme vertrauenswürdig sein, wodurch die Chancen eines unbefugten Zugriffs stark reduziert werden. Public Key Infrastructure (PKI) ist die Technologie, die dies ermöglicht.

PKI bietet mehrere Vorteile für eine starke Geräteauthentifizierung. Sie ist nicht nur sehr schwierig, wenn nicht sogar technisch unmöglich zu fälschen. Aber ihre Verwendung als Teil des Authentifizierungsprozesses verhindert wörterbuchbasierte Angriffe (wie bei Mirai). PKI bietet außerdem die Möglichkeit, eindeutige Identitäten für die authentifizierenden Entitäten (sowohl Geräte als auch Dienste) zu verwenden. Zum Zeitpunkt des Gerätebaus ist es empfehlenswert, eindeutige Authentifizierungs-Berechtigungsnachweise pro Gerät aufzunehmen, statt gemeinsame oder häufige für eine Reihe von Geräten zu verwenden. Noch besser ist es, Hardware-Sicherheitselemente einzusetzen, um die privaten Schlüssel auf Geräten zu schützen und zu verhindern, dass die Berechtigungsnachweise von den Geräten selbst gestohlen oder abgezogen werden.

Sie können PKI auch nutzen, um zu validieren, welche Updates auf dem Gerät installiert sind. Die Updatelogik kann so gestaltet werden, dass nur Code ausgeführt wird, der von einem bestimmten Herausgeber mit einem bestimmten Zertifikattyp digital signiert wurde.

Weitere Sicherheitstipps

Hersteller von IoT-Geräten sollten sich auch das Open Web Application Security Project (OWASP) ansehen, um grundlegende Tipps zur Passwortrichtlinie zu erhalten, die einen Angriff wie Reaper in Zukunft verhindern könnten. Aber wir würden vorschlagen, über Passwörter allein hinaus zu schauen, wenn man starke Authentifizierungsmethoden in Betracht zieht.

Was kommt als Nächstes?

Was als Nächstes mit Reaper geschieht, ist offen. Hoffentlich werden die Auswirkungen auf Geräte nicht so umfangreich sein wie bei Mirai. Aber angesichts der Besorgnis der Sicherheits-Community ist dies jedoch unwahrscheinlich. Das Einzige, auf das wir hoffen können - und für das wir etwas unternehmen können - ist, dass Entwickler und Hersteller im Laufe der Zeit die IoT-Gerätesicherheit verbessern, sodass Botnets wie Reaper kaum eine Chance haben, weitreichenden Schaden anzurichten.

von Lea Toms

Artikel teilen