98 Sekunden bis zur Infektion: IoT-Botnetz im Selbstversuch

Ein Sicherheitsforscher nimmt eine IP-Sicherheitskamera in Betrieb. Kurze Zeit später befindet sich dieses in den Fängen von zwei Botnetzen.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Netzwerk-Kabel

(Bild: dpa, Oliver Berg)

Lesezeit: 2 Min.

Der Sicherheitsforscher Rob Graham hat einen Selbstversuch gestartet, um herauszufinden, wie schnell ein IoT-Gerät mit Malware infiziert wird. Dafür kaufte er eine IP-Überwachungskamera, pflegte diese in sein Netzwerk ein und twitterte über den Infektionsstand.

Sein Selbstversuch fand in einem von ihm speziell konfigurierten und isolierten Test-Netzwerk statt. Wer nicht ausreichend sattelfest in Netzwerk-Sicherheit ist, sollte lieber die Finger von derartigen Experimenten lassen. Graham setzte unter anderem auf eine Firewall, um den aus- und eingehenden Netzwerkverkehr via Rate Limiting zu kontrollieren, damit es im Ernstfall nicht zu von ihm ausgehenden DDoS-Attacken kommt.

Mehr Infos

Eigenen Angaben zufolge geriet die IP-Kamera bereits nach 5 Minuten in das Visier eines Botnetzes – dabei soll es sich aber nicht um das Mirai-Botnetz gehandelt haben. Anschließend wurden technische Infos des IoT-Gerätes abgezogen und Bibliotheken heruntergeladen, um die Infektion einzuleiten. Dieser Vorgang hat insgesamt 98 Sekunden gedauert, erläutert Graham.

Kurz darauf soll zusätzlich die Mirai-Malware zugeschlagen haben. Der Source-Code des mächtigen DDoS-Tools Mirai wurde im Oktober veröffentlicht. Die infizierte Kamera habe dann in hoher Rate SYN- und Telnet-Pakete heraus gefeuert, um neue Opfer zu finden. Dank Grahams Vorkehrungen, sollen aber keine Pakete raus gegangen sein.

In jüngster Vergangenheit gingen vom Mirai-Botnetz massive DDoS-Attacken aus. Ein Angriff auf den DNS-Anbieter Dyn sorgte dafür, dass Dienste wie Twitter und Netflix zeitweilig nicht erreichbar waren. Auch die Webseite des Security-Bloggers Brian Krebs brach unter einer vom Mirai-Botnetz ausgehenden Datenflut zusammen. Ein französischer Web-Hoster meldete eine DDoS-Attacke mit einem Rekord-Volumen von 1,1 Terabit pro Sekunde.

[UPDATE, 23.11.2016 09:10]

Aufbau Test-Setup im Fließtext spezifiziert. (des)