Neueste Mirai-Variante zielt auf SonicWall, D-Link und IoT-Geräte

Cyber Security News

Eine neue Mirai-Variante zielt auf bekannte Schwachstellen in Geräten von D-Link, Netgear und SonicWall sowie auf neu entdeckte Schwachstellen in unbekannten IoT-Geräten.

Eine neue Variante des Mirai-Botnets wurde entdeckt, die auf eine Reihe von Schwachstellen in ungepatchten D-Link-, Netgear- und SonicWall-Geräten abzielt – sowie auf nie zuvor entdeckte Schwachstellen in unbekannten Internet-of-Things (IoT)-Gadgets.

Seit dem 16. Februar zielt die neue Variante auf sechs bekannte – und drei bisher unbekannte – Schwachstellen ab, um Systeme zu infizieren und sie einem Botnetz hinzuzufügen. Es ist nur die jüngste Variante von Mirai, die ans Licht kam, Jahre nachdem der Quellcode für die Malware im Oktober 2016 veröffentlicht wurde.

“Die Angriffe sind zum Zeitpunkt dieses Schreibens noch im Gange”, sagten Forscher des Unit 42-Teams von Palo Alto Networks am Montag. “Nach erfolgreicher Ausnutzung versuchen die Angreifer, ein bösartiges Shell-Skript herunterzuladen, das weitere Infektionsverhaltensweisen wie das Herunterladen und Ausführen von Mirai-Varianten und Brute-Forcern enthält.”

Initial Exploit: Neue und alte Schwachstellen

Die Angriffe nutzen eine Reihe von Sicherheitslücken aus. Zu den bekannten Sicherheitslücken, die ausgenutzt werden, gehören: Ein SonicWall SSL-VPN-Exploit; ein D-Link DNS-320 Firewall-Exploit (CVE-2020-25506); Yealink Device Management Remote Code-Execution (RCE)-Fehler (CVE-2021-27561 und CVE-2021-27562); eine Netgear ProSAFE Plus RCE-Schwachstelle (CVE-2020-26919); eine RCE-Schwachstelle in Micro Focus Operation Bridge Reporter (CVE-2021-22502); und eine Netis WF2419 Wireless-Router-Schwachstelle (CVE-2019-19356 ).

Das Botnet nutzte auch Schwachstellen aus, die zuvor nicht bekannt waren. Die Forscher glauben, dass diese Schwachstellen in IoT-Geräten vorhanden sind.

Sie wurden “in der Vergangenheit beobachtet, wie sie von [the] Moobot [botnet]Allerdings ist das genaue Ziel unbekannt”, so die Forscher. Threatpost hat sich an die Forscher gewandt, um weitere Informationen zu diesen unbekannten Zielen zu erhalten.

Zu den Exploits selbst gehören zwei RCE-Angriffe – darunter ein Exploit, der auf eine Command-Injection-Schwachstelle in bestimmten Komponenten abzielt, und ein Exploit, der auf das Login-Skript des Common Gateway Interface (CGI) abzielt (aufgrund eines nicht ordnungsgemäß bereinigten Schlüsselparameters). Der dritte Exploit zielt auf den op_type-Parameter ab, der nicht ordnungsgemäß bereinigt ist, was zu einer Befehlsinjektion führt, so die Forscher.

Mirai Botnet: Eine Reihe von Binärdateien

Nach der anfänglichen Ausnutzung ruft die Malware das Dienstprogramm wget auf (ein legitimes Programm, das Inhalte von Webservern abruft), um ein Shell-Skript aus der Infrastruktur der Malware herunterzuladen. Das Shell-Skript lädt dann mehrere Mirai-Binärdateien herunter und führt sie nacheinander aus.

Eines dieser Binarys ist lolol.sh, das mehrere Funktionen hat. Lolol.sh löscht wichtige Ordner auf dem Zielcomputer (einschließlich solcher mit bestehenden geplanten Aufträgen und Startskripten), erstellt Paketfilterregeln, um eingehenden Datenverkehr zu blockieren, der an die häufig verwendeten SSH-, HTTP- und Telnet-Ports gerichtet ist (um Administratoren den Fernzugriff auf das betroffene System zu erschweren), und plant einen Auftrag, der darauf abzielt, das Skript lolol.sh stündlich erneut auszuführen (um es zu erhalten). Letzterer Prozess ist allerdings fehlerhaft, da die Cron-Konfiguration nicht korrekt ist, so die Forscher.

Eine weitere Binärdatei (install.sh) lädt verschiedene Dateien und Pakete herunter – darunter GoLang v1.9.4, die “nbrute”-Binärdateien (die verschiedene Anmeldedaten erzwingen) und die Datei combo.txt (die zahlreiche Kombinationen von Anmeldedaten enthält, die von “nbrute” zum Erzwingen von Anmeldedaten verwendet werden sollen).

Die letzte Binärdatei heißt “dark”.[arch]und basiert auf der Mirai-Codebasis. Diese Binärdatei dient hauptsächlich der Verbreitung, entweder über die verschiedenen oben beschriebenen ursprünglichen Mirai-Exploits oder über das Brute-Forcing von SSH-Verbindungen mithilfe der in der Binärdatei fest kodierten Anmeldedaten.

Mirai-Varianten tauchen immer wieder auf

Die Variante ist nur die jüngste, die sich auf den Mirai-Quellcode stützt, der sich in mehr als 60 Varianten ausgebreitet hat, seit er 2016 mit einem massiven Distributed-Denial-of-Service (DDoS)-Attentat auf den DNS-Anbieter Dyn aufgetaucht ist.

Letztes Jahr wurde eine Mirai-Variante gefunden, die auf Zyxel Network-Attached Storage (NAS)-Geräte abzielt und eine kritische Schwachstelle nutzt, die laut Sicherheitsforschern erst kürzlich entdeckt wurde. Im Jahr 2019 wurde eine Variante des Botnetzes gefunden, die Schwachstellen in drahtlosen Präsentations- und Anzeigesystemen von Unternehmen ausspähte und angriff. Und eine Variante aus dem Jahr 2018 wurde verwendet, um eine Reihe von DDoS-Kampagnen gegen Unternehmen des Finanzsektors zu starten.

Die Forscher sagten, dass die größte Erkenntnis hier ist, dass verbundene Geräte weiterhin ein Sicherheitsproblem für Benutzer darstellen. Sie raten Kunden dringend, Patches anzuwenden, wann immer dies möglich ist.

“Der IoT-Bereich bleibt ein leicht zugängliches Ziel für Angreifer”, heißt es in dem Bericht von Unit 42. “Viele Schwachstellen lassen sich sehr leicht ausnutzen und könnten in einigen Fällen katastrophale Folgen haben.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com