Lesezeit
1 Minute
Hochentwickelte Malware in der Mache
Avira hat eine neue Variante des Mirai-Botnets identifiziert – die neue Version wurde nach dem japanischen Schwert Katana benannt. Obwohl sich das Katana-Botnet derzeit noch in Entwicklung befindet, verfügt es bereits über Module wie Layer 7-DDoS, unterschiedliche Verschlüsselungen je nach Ursprungsort, schnelle Selbstreplikation und eine gesicherte Verbindung zum Command-and-Control-Server.
Bereits im Juni berichtete das Avira Protection Lab darüber, wie sich das IoT-Botnet Mirai seit der Veröffentlichung seines Quellcodes im Jahr 2017 entwickelt hat. Eine aktuelle Analyse von Avira zu IoT-Angriffen und Malware-Trends zeigt, dass sich Mirai stetig weiterentwickelt. Auch werden Varianten von Mirai häufig über YouTube-Kanäle beworben, in diesem Fall der Kanal VegaSec. Der einfache Zugang und weitere Änderungen ermöglichen es auch ungelernten Angreifern, bösartige Botnets zu erstellen, was eine Zunahme Botnet-geführter IoT-Angriffe zur Folge haben könnte.
In den vergangenen zwei Wochen erfasste Avira mittels Honeypot eine Welle von bisher unbekannten Malware-Binärdateien, infolgedessen sich das Avira-Team entschloss, der Sache näher auf den Grund zu gehen. Es fand dabei folgendes heraus: Per Ausführung von Remote-Codes und Command-Injecton versucht das Katana-Botnet alte Sicherheits-Schwachstellen in (älteren) LinkSys und GPON-Routern auszunutzen. Obwohl Katana alte Exploits verwendet – Avira geht davon aus, dass sich Katana in der Test- und Entwicklungsphase befindet –, hat es dennoch die Aufmerksamkeit des Avira-IoT-Forschungsteams erregt, denn:
Katana wird innerhalb eines bestimmten Zeitraums über verschiedene IP-Adressen heruntergeladen. Daten von Avira belegen, wie der Download-Prozess funktioniert. Das Katana-IoT-Botnet wird als einzelne Instanz ausgeführt, indem es verschiedene Ports bindet. Es gibt nicht zuletzt Hinweise darauf, dass Katana in Zukunft möglicherweise mit einem HTTP-Banking-Botnet verknüpft wird. Details zur Port-Bindung sowie weitere Informationen zu Katana sind auf dem Avira-Blog [1] abrufbar.
dr
[1] https://www.avira.com/en/blog/katana-a-new-variant-of-the-mirai-botnet
In den vergangenen zwei Wochen erfasste Avira mittels Honeypot eine Welle von bisher unbekannten Malware-Binärdateien, infolgedessen sich das Avira-Team entschloss, der Sache näher auf den Grund zu gehen. Es fand dabei folgendes heraus: Per Ausführung von Remote-Codes und Command-Injecton versucht das Katana-Botnet alte Sicherheits-Schwachstellen in (älteren) LinkSys und GPON-Routern auszunutzen. Obwohl Katana alte Exploits verwendet – Avira geht davon aus, dass sich Katana in der Test- und Entwicklungsphase befindet –, hat es dennoch die Aufmerksamkeit des Avira-IoT-Forschungsteams erregt, denn:
- Katana infiziert aktiv tägliche Hunderte von Geräten.
- Es enthält klassische Mirai-Funktionen wie ein zufälliger Prozessname oder einen Watchdog.
- Ähnlich wie Mirai bietet es verschiedene DDoS-Befehle wie "attack_app_http" oder "attack_get_opt_int".
Katana wird innerhalb eines bestimmten Zeitraums über verschiedene IP-Adressen heruntergeladen. Daten von Avira belegen, wie der Download-Prozess funktioniert. Das Katana-IoT-Botnet wird als einzelne Instanz ausgeführt, indem es verschiedene Ports bindet. Es gibt nicht zuletzt Hinweise darauf, dass Katana in Zukunft möglicherweise mit einem HTTP-Banking-Botnet verknüpft wird. Details zur Port-Bindung sowie weitere Informationen zu Katana sind auf dem Avira-Blog [1] abrufbar.
dr
[1] https://www.avira.com/en/blog/katana-a-new-variant-of-the-mirai-botnet