BotenaGo: Malware zielt auf Millionen Router und IoT-Geräte

Das Cybersecurity-Labor AlienLabs des US-amerikanischen Providers AT&T hat eine Malware aufgespürt, die mehr als 30 Exploits nutzt, um Internet-of-Things-Geräte und Router zu kompromittieren. Dabei handelt es sich laut Analysebericht des Labors wahrscheinlich um eine versehentlich entfleuchte frühe Beta-Version der Malware, die zudem Hinweise auf eine Verwandtschaft mit dem Mirai-Botnet aufweist.

Im ausführlichen Bericht beschreiben die IT-Sicherheitsforscher die Besonderheiten der Malware. So nutzen die Schädlingsprogrammierer die Programmiersprache Go von Google, weshalb die Analysten den Namen BotenaGo dafür wählten. Sie erwähnen zudem, dass laut einem Blog-Beitrag von Intezer die Nutzung der Sprache Go unter Malware-Funden in freier Wildbahn in den vergangenen Jahren um 2.000 Prozent zugenommen habe.

Die Schadsoftware richte eine Hintertür auf Port 19412 sowie 31412 ein und warte dort auf Befehle der Botnetzbetreiber, könne aber auch durch andere Module gesteuert werden. Unbekannt bleibe derweil, wer hinter der Malware steckt und wie viele Geräte tatsächlich bereits angegriffen wurden und infiziert seien.

Die Erkennungsrate ist zum Zeitpunkt der Artikelveröffentlichung noch mau – 28 von 61 Scannern auf Virustotal erkennen den Schädling. Da die Links zur Payload denen der Mirai-Malware ähnelten, erkennen einige Scanner die Malware als Variante davon. Laut Aussage der AT&T-Sicherheitsforscher unterscheiden sich jedoch Programmiersprache, Distributed-Denial-of-Service-(DDoS) und Angriffs-Funktionen davon, sodass sie von einer neuen Malware-Familie ausgehen.

Ablauf der Infektion

Die genaueren Infektionsmechanismen beleuchtet der Bericht im Anschluss. Die Malware suche ein bestimmtes Verzeichnis, um sich dort an Skripte anzuhängen und beende sich, wenn das Verzeichnis nicht vorhanden sei. Die Malware suche dann, so sie weiterlaufe, nach verwundbaren Funktionen anhand von bestimmten Zeichenketten – eine Art Signatur-Scan. Diese Zeichenketten können Versionsrückmeldungen von Servern sein, anhand derer BotenaGo eine verwundbare Funktion erkennen und einen passenden Exploit dagegen nutzen kann.

Am Beispiel der Signatur "Server: Boa/0.93.15" für einen verwundbaren Dienst auf IoT-Geräten und Routern haben die Sicherheitsforscher die Shodan-Datenbank abgefragt und knapp zwei Millionen Ergebnisse geliefert bekommen, mithin potenziell angreifbare Geräte. Für die Signatur "Basic realm=\"Broadband Router\"" listete die Shodan-Datenbank immer noch 250.000 Ergebnisse. Insgesamt kann dem Bericht zufolge BotenaGo 33 verwundbare Dienste und Funktionen angreifen. Der Schädling öffne zwei Ports für eine Hintertür, 31412 und 19412. Für letzteren Port zeigen die Forscher, wie darüber ein DDoS-Angriff auf eine IP-Adresse und Portnummer gestartet werden könne.

Aktive Kommunikation mit einem Command-&-Control-Server (C&C) scheine nicht stattzufinden. Der Bericht spekuliert über die mögliche Funktionsweise für die Botnetzbetreiber: BotenaGo sei nur Teil einer Malware-Suite und die C&C-Kommunikation wickele ein anderes Modul ab. Oder es handele sich tatsächlich um einen Mirai-Nachfolger, wobei die Betreiber bekannte, mit Mirai infizierte IPs gezielt ansteuerten. Die dritte Möglichkeit wäre, dass es sich um einen versehentlichen Leak einer Beta-Malware handelt.

Die IT-Sicherheitsexperten listen die CVE-Nummern und von den Sicherheitslücken betroffenen Geräte in ihrem Report auf – sie hier wiederzugeben, würde die Meldung sprengen. Die Handlungsempfehlung im Bericht lautet, verfügbare Updates einzuspielen, Internet-of-Things-Geräte und Linuxserver mit so geringer Angriffsfläche wie möglich im öffentlichen Internet zu betreiben sowie den Netzwerkverkehr zu beobachten, auf ausgehende Portscans und ungewöhnliche Bandbreitennutzung zu achten.

Da es für diverse ältere Router und IoT-Geräte keine Updates mehr gibt, können wir aus Sicherheitsperspektive lediglich empfehlen, auf aktuelle Geräte umzusteigen, die noch Herstellersupport und somit Sicherheitsupdates erhalten.

(dmk)