Botnetz: Mirai-Malware gefährdet durch Cross-Compiling noch mehr Systeme

Eine neue Mirai-Variante kann mittels Aboriginal Linux nun u.a. auch Android- und Debian-Systeme infizieren und in ein Botnetz einspannen.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Botnetz: Mirai-Malware gefährdet durch Cross-Compiler noch mehr Systeme

(Bild: geralt)

Lesezeit: 2 Min.

Malware-Autoren feilen weiter an der Mirai-Malware und haben ihre Produktion so optimiert, dass sie mit vergleichsweise wenig Aufwand verschiedene Varianten erhalten, die noch mehr Geräte und Systeme infizieren können. Ihre Beobachtungen schildern Sicherheitsforscher von Symantec in einem Blog-Eintrag.

Sie haben beispielsweise dokumentiert, dass Mirai nun unter Android 4.4 und Debian läuft. Somit sind noch mehr Computer und IoT-Geräte gefährdet. Um die erhöhte Kompatibilität zu erreichen, setzen die Malware-Autoren auf die legitime Open-Source-Software Aboriginal Linux. Dabei handelt es sich um einen Cross-Compiler, dessen Skripte automatisch ausführbare Dateien für beispielsweise Geräte mit ARM-, PowerPC- und x86-Architekuren erstellen.

Während ihrer Untersuchungen sind die Sicherheitsforscher auf einen Remote-Server gestoßen, der verschiedene Varianten der Malware bereithält. Gerät ein verwundbares Gerät ins Visier, "feuert" ein Skript so lange Mirai-Versionen ab, bis eine zur Architektur passt und eine Infektion erfolgreich ist.

Befindet sich ein Gerät im Botnetz, nimmt Mirai seine Arbeit auf und scannt nach mehr verwundbaren Geräten, um das Netz weiter auszubauen. In der Regel gehen von Botnetzen DDoS-Attacken aus. Dabei überflutet die Masse von Geräten beispielsweise Web-Server mit Datenpakten, sodass Internetseiten nicht mehr erreichbar sind.

Ende 2016 ist der Source-Code von Mirai geleakt. Seitdem sind verschiedene Abkömmlinge wie Reaper und Satori im Umlauf. Problematisch ist, dass unzählige IoT-Geräte keine Sicherheitsupdates erhalten. Selbst wenn man es irgendwie schafft, die Malware loszuwerden, schlägt Mirai oft spätestens nach einem Neustart abermals zu.

Besitzer von IP-Kameras, Routern & Co. sollten dennoch regelmäßig prüfen, ob es Sicherheitsupdates gibt. Außerdem sollte man unbedingt die werksseitig gesetzten Zugangsdaten ändern. Außerdem sollte man die Fernwartung, beispielsweise via SSH, nur aktivieren, wenn es wirklich nicht anders geht.

Damit das IoT-Update-Desaster ein Ende hat, müsste eigentlich der Staat eingreifen und rechtsverbindliche Regeln für Hersteller festlegen. Das forderte heise-Security-Chefredakteur Jürgen Schmidt bereits Ende 2016. (des)