Bereits im Juni berichtete das Avira Protection Lab darüber, wie sich das IoT-Botnet Mirai seit der Veröffentlichung seines Quellcodes im Jahr 2017 entwickelt hat. Eine aktuelle Analyse von Avira zu IoT-Angriffen und Malware-Trends zeigt, dass sich Mirai stetig weiterentwickelt. Auch werden Varianten von Mirai häufig über YouTube-Kanäle beworben, in diesem Fall der Kanal VegaSec. Der einfache Zugang und weitere Änderungen ermöglichen es auch ungelernten Angreifern, bösartige Botnets zu erstellen, was eine Zunahme Botnet-geführter IoT-Angriffe zur Folge haben könnte.

In den vergangenen zwei Wochen erfasste Avira mittels Honeypot eine Welle von bisher unbekannten Malware-Binärdateien, infolgedessen sich das Avira-Team entschloss, der Sache näher auf den Grund zu gehen. Es fand dabei folgendes heraus: Per Ausführung von Remote-Codes und Command-Injecton versucht das Katana-Botnet alte Sicherheits-Schwachstellen in (älteren) LinkSys und GPON-Routern auszunutzen. Obwohl Katana alte Exploits verwendet – Avira geht davon aus, dass sich Katana in der Test- und Entwicklungsphase befindet –, hat es dennoch die Aufmerksamkeit des Avira-IoT-Forschungsteams erregt, denn:

• Katana infiziert aktiv tägliche Hunderte von Geräten.
• Es enthält klassische Mirai-Funktionen wie ein zufälliger Prozessname oder einen Watchdog.
• Ähnlich wie Mirai bietet es verschiedene DDoS-Befehle wie "attack_app_http" oder "attack_get_opt_int".

Katana wird innerhalb eines bestimmten Zeitraums über verschiedene IP-Adressen heruntergeladen. Daten von Avira belegen, wie der Download-Prozess funktioniert. Das Katana-IoT-Botnet wird als einzelne Instanz ausgeführt, indem es verschiedene Ports bindet. Es gibt nicht zuletzt Hinweise darauf, dass Katana in Zukunft möglicherweise mit einem HTTP-Banking-Botnet verknüpft wird. Details zur Port-Bindung sowie weitere Informationen zu Katana sind auf dem Avira-Blog [1] abrufbar.

dr

[1] https://www.avira.com/en/blog/katana-a-new-variant-of-the-mirai-botnet