Durch das Botnetz Mirai wurden im September 2016 groe Unternehmen wie Twitter, CNN und Spotify beim grten DDoS-Angriff der Geschichte vom Netz genommen. Damals erwartete noch niemand, dass durch den Zusammenschluss einer Vielzahl von Internet of Things (IoT)-Gerten zu einem Botnetz ein solch massiver Angriff gestartet werden knnte.

10. Dezember 2018 - Das Threat Intelligence Team von Avast hat nun sieben neue Varianten von Mirai analysiert und untersucht, wer dahinterstecken knnte. Die Ergebnisse zeigen, dass der Cyberkriminelle, der wohl fr diese Angriffe verantwortlich ist, die Botnetze als eine Art Service vermietet. Die nderung des Mirai-Codes zur Erstellung und Verbreitung einer neuen Botnetz-Version ist relativ einfach und obwohl die Analyse zeigt, dass wohl ein relativ unerfahrenes Scriptkiddie hinter diesen sieben neuen Mirai-Versionen steckt, so besteht dennoch ein hohes Gefahrenpotenzial.

Neue Botnetz-Varianten nach Verffentlichung des Mirai-Quellcodes

Nachdem es ihm gelungen war, einen Groteil des Internets lahmzulegen, verffentlichte der Autor von Mirai, der sich selbst „Anna-Senpai“ nennt, den Quellcode. Der Mirai-Code wurde schnell zu einer Art Vorlage und jeder, der eine weitere Mglichkeit sieht, die Schwachstellen neuer Gerte auszunutzen, kann diesen Code bernehmen und so eine neue Botnetz-Variante erstellen. Im Sommer 2018 verffentlichte der Twitter-Nutzer @400kQBOT einen Link mit dem Quellcode von sieben neuen Mirai-Varianten, woraufhin das Avast Threat Intelligence Team damit begann, deren Ursprung zu untersuchen. Die Analysen des Teams fhrten zu der Annahme, dass ein Cykrimineller, der sich Scarface#1162 nannte, hinter den sieben Botnetz-Varianten stecken knnte und den Zugriff auf die Botnetze als eine Art Dienstleistung vermarktet, die er dann auf YouTube und Twitter anbietet. Die Annahme des Teams, dass es sich bei 400kQbot und Scarface um dieselbe Person handelte, wurde Mitte September besttigt, nachdem sich dieser in einem Tweet aus dem 400kQBot-Handle selbst entlarvte.

Tiefgehende Analyse der Mirai-Versionen

Bei nherer Betrachtung der sieben neuen Mirai-Varianten fand das Avast Threat Intelligence Team heraus, dass sich diese durch die von ihnen verwendete Passwortliste fr Brute-Force-Angriffe auf unsichere IoT-Gerte in den dabei ausgewhlten Ports und in der Architektur von der Originalversion unterschieden:

Kombinationen der Zugangsdaten: Fr die Kombinationen der Zugangsdaten verwendete der ursprngliche Mirai-Code eine Liste von 62 hardcodierten Passwrtern fr Brute-Force-Angriffe auf schlecht gesicherte IoT-Gerte. Bei der Analyse der Varianten entdeckte das Avast-Team, dass sich diese Passwortliste mit jedem Bot nderte. Das Team konnte jedes der von den einzelnen Varianten verwendeten Passwrter erfassen und entschlsseln. Avast wollte herausfinden, ob die Passwortliste aus dem Mirai-Code stammt und ob es berlappungen gibt. Die umfangreichste Passwortliste wird in der Saikin-Variante verwendet, die 80 Passwrter enthlt, von denen sich nur vier mit dem ursprnglichen Mirai-Code decken. Mit der Entscheidung zur Implementierung verschiedener Passwortlisten visieren die Angreifer vermutlich eine grere Anzahl von IoT-Gerten an.

Neue Ports: Wie auch Mirai besitzen alle Varianten ein Modul „killer.c“, das verschiedenen Zwecken dient. Zuerst beseitigt es andere Malware, die mglicherweise bereits auf dem betroffenen Gert ausgefhrt wird. Zweitens verhindert es, dass Dritte Fernzugriff auf das Gert per Telnet, SSH oder HTTP erhalten. Die Analyse offenbart, dass fnf der sieben Varianten (alle auer Saikin und Josho_V3) neben den Kill-Ports von Mirai neue protokoll- bzw. gertespezifische Ports in die Kill-Listen aufgenommen hatten. Die Aufnahme dieser Ports sollte es dem Autor des Botnetzes ermglichen, sich mit mehreren Gerten zu verbinden und gleichzeitig Dritten den Fernzugriff auf diese Gerte unmglich zu machen.

Neue Architekturen: Alle vom Threat Intelligence Team untersuchten Mirai-Varianten zielen auf dieselben Architekturen ab wie Mirai. Nur drei – Sora, Saikin und Akiru – haben zwei neue Architekturen hinzugefgt: ARC (Argonaut RISC Core) und RCE (Motorola RCE)

Das Threat Intelligence Team erklrt: „Unsere Analyse zeigt, dass sich die neuen Varianten zwar nicht mageblich vom originalen Mirai-Sourcecode unterscheiden, sie aber dennoch groen Schaden anrichten knnten. Sie zielen im Vergleich zum ursprnglichen Mirai-Botnetz auf eine grere Zahl und auf weitere Kategorien von IoT-Gerten ab, indem sie die fr Brute-Force-Angriffe verwendeten Passwortlisten variieren und neue Ports als Ziele hinzufgen. Je mehr Botnetz-Varianten im Umlauf sind, desto grer der potenzielle Schaden, der entstehen kann. Fr Nutzer bedeutet dies, dass die Bedrohung real ist: Wenn Gerte im Haushalt, wie z. B. ein Babyphon oder ein Router, einem Angriff zum Opfer fallen, dann kann der Cyberkriminelle auch auf die anderen vernetzten Gerte in der Wohnung zugreifen. Nutzer sollten die Standard-Passwrter ihrer IoT-Gerte durch komplexe eigene Passwrter ersetzen und darauf achten, die Firmware zu aktualisieren, sobald neue Versionen verfgbar sind.“

Avast empfiehlt die folgenden Schritte zum Schutz von IoT-Gerten und Smart Homes:


  1. ndern Sie bei der Einrichtung von vernetzten Gerten das Standardpasswort des Routers und der IoT-Gerte.
  2. Halten Sie die Gerte mit Firmware-Updates stets auf dem neuesten Stand.
  3. Deaktivieren Sie die Remote-Verwaltung in den Router-Einstellungen.
  4. Wenn Sie unsicher sind, ob das Gert infiziert wurde, ziehen Sie ein Zurcksetzen auf Werkseinstellungen in Betracht und beginnen Sie ggf. wieder mit Schritt 1.


Einen Vergleich und eine Analyse der Varianten einschlielich deren Namen, Kombinationen von Zugangsdaten, Ports, Architekturen und Details zu der Annahme, dass ein Scriptkiddie hinter den Varianten stecken knnte, finden Sie im Avast-Blog: https://blog.avast.com/hacker-creates-seven-new-variants-of-the-mirai-botnet