Neues IoT-Botnetz im Aufbau

IoT Cloud

Neues Botnetz "Amnesia" entdeckt, welches IoT-Geräte angreift. Infizierte Geräte werden über das IRC-Protokoll gesteuert.

 

Beschreibung:

Forscher von Palo Alto haben ein neues Botnetz entdeckt, welches vornehmlich IoT-Geräte wie DVR's (digitale Videorekorder) infiziert. Das sich noch im Aufbau befindende und "Amnesia" getaufte IoT-Botnetz könnte bei größerer Verbreitung ähnliche Angriffe wie das Mirai-Botnetz aus dem letzten Jahr durchführen.

Sind Systeme von der Malware betroffen, versuchen diese, weitere interne Geräte zu infizieren. Der Schadcode wurde mittlerweile so weiterentwickelt, dass bei Start geprüft wird, ob die Malware in einer virtualisierten Umgebung (z.B. bei Sandboxing-Prüfungen) ausgeführt wird, um eine solche Erkennung zu umgehen.

Infizierte Geräte werden bei Amnesia über das IRC-Protokoll (Internet Relay Chat) gesteuert und erhalten so ihre Befehle. IRC ist ein textorientiertes Chat-System, welches gerne für Steuerbefehle innerhalb eines Botnetzes verwendet wird. Unter anderem sind Web-Flooding-Angriffe im aktuellen Befehlssatz kodiert, sodass die Systeme im Unternehmen konsolidiert an einem DDOS mitwirken können.


Empfehlung:

Die Zugriffe von internen Systemen zu IRC-Servern im Internet sollten in sicherheitsbewussten Unternehmen nicht ohne guten Grund erfolgen und prinzipiell verboten sein. Falls es doch Anwendungen gibt, die IRC-Kommunikation benötigen, sollten nur diese Systeme eine explizite Ausnahme in der Firewall bekommen. Ebenfalls sollte nach Möglichkeit auch ein Web-Proxy zum Einsatz kommen.

Darüber hinaus sollten die SOC/NOC-Mitarbeiter auch auf Anzeichen von möglichen DDOS-Angriffen aus ihrem Unternehmensnetz heraus achten. Hier empfiehlt sich die Nutzung von NGFW-Systemen und einer umfassenden Anomalieerkennung.


Erkennung mit spotuation Security Monitoring:

Anwender können mit der Lösung überprüfen, ob es Zugriffe von ihren Systemen auf externe IRC-Server gibt oder in der Vergangenheit gab. Diese Informationen sind abhängig von den eingesetzten Modulen zu finden:

  • Haben Sie den Management-Report abonniert, haben wir bereits mögliche Zugriffe Ihrer Client-Systeme über das IRC-Protokoll analysiert und aufgelistet.
  • Falls Sie wöchentlich einen technischen Report erhalten, stehen die IRC-Zugriffe in der Verbindungsübersicht.
  • Falls Sie den Network-Compliance-Verifier aktiviert haben, können Sie im Webportal gezielt die IRC-Zugriffe finden und dabei direkt die betroffenen IP-Adressen Ihrer Clients ermitteln.
  • Im Expertensystem können Sie sich die Protokolldetails wie verwendete Kommandos des vorgekommenen IRC-Verkehrs anschauen.
  • Haben Sie das Echtzeit-Monitoring mit der Anomalieerkennung aktiviert, sehen Sie mögliche HTTP-DDOS-Angriffe aus Ihrem Netz heraus.
  • Falls Sie den APT-Sensor aktiviert haben, werden Sie über Zugriffe von Amnesia per E-Mail oder SMS gewarnt.

Zurück