:quality(80)/p7i.vogel.de/wcms/dd/2b/dd2b986a5132cb0d475f0bbecba5d299/0110618846.jpeg "Microsoft Deutschland und die Unternehmensberatung Roland Berger haben die Gewinner des diesjährigen Microsoft Intelligent Manufacturing Award mit einer Jury aus Wirtschaft und Wissenschaft ausgewählt. (Bild: Microsoft Deutschland)")
:quality(80)/p7i.vogel.de/wcms/8d/d0/8dd0f94e785b2f3d386a31b7a29841d8/0110162970.jpeg "Naturkatastrophen können bodengebundene Kommunikationsnetzwerke zerstören. Hybride Netzwerke, die Erde, Himmel und Weltraum nutzten, hielten die Kommunikation aber aufrecht. Deshalb kooperiert die Deutsche Telekom jetzt mit der ESA und anderen Partnern. (Bild: Deutsche Telekom / ESA)")
:quality(80)/p7i.vogel.de/wcms/92/b5/92b533e8e3608a71bedd21d4dcd15e59/0109117304.jpeg "Private 5G wird zum ‚heiligen Gral‘ für Anwendungsfälle in der Industrie 4.0. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/54/28/5428224bd1fdbfdc66fee42c96fe704d/0110087444.jpeg "Nutzen Unternehmen die Chancen der digitalen Transformation, schaffen sie für ihre Kunden größere Mehrwerte und für sich neue beziehungsweise wiederkehrende Umsatzpotenziale. (Bild: Plansysteme )")
:quality(80)/p7i.vogel.de/wcms/60/e5/60e5552e3ed36dabcd5e441132a23fbc/0110616928.jpeg "Die 3D-Planung und die 3D-gedruckten Implantate zielen darauf ab, die Vorhersagbarkeit klinischer Ergebnisse für Patienten mit schweren Schulterdefekten zu verbessern. (Bild: Exactech)")
:quality(80)/p7i.vogel.de/wcms/d7/83/d783498848ac40f2715ef017c7a37f92/0110383530.jpeg "Tooling & Equipment International erweitert die additive Fertigungskapazität um den dritten VX4000 3D-Drucker von Voxeljet. (Bild: Tooling & Equipment International)")
:quality(80)/p7i.vogel.de/wcms/09/1f/091f8780c7cfa0ac4c4eee4934197062/0110356574.jpeg "Der Oresat0 mit Solarmodulen und aufgestellter Dreiband-Drehkreuzantenne. (Bild: PSAS)")
:quality(80)/p7i.vogel.de/wcms/d2/9e/d29eb16e2cbea48418def461e6e9d638/0110271051.jpeg "Werden elektronische Teile heute mittels 3D-Druck produziert, kommt ein zweistufiger Prozess zum Einsatz. Ein neues Verfahren der TH Köln verspricht dies einfacher, schneller und kostengünstiger zu gestalten. Es nutzt die vorhandene Prozesswärme des FDM-Druckers gleichzeitig zur Materialsinterung der leitfähigen Strukturen. (Bild: TH Köln)")
:quality(80)/p7i.vogel.de/wcms/83/90/8390d1a43fcf777ac0acea20d21cc3b1/0110087783.jpeg "Mit der fortschreitenden Digitalisierung werden immer mehr Maschinen und Anlagen vernetzt. Somit steigen auch die Anforderungen an die Mensch-Maschine-Schnittstelle. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2d/4a/2d4adf1f3777b90a816016b78732e01e/0109146962.jpeg "Software zur Automatisierung von Aufgaben, die auf Basis von Low-Code entwickelt wurde, kann schnell in Betrieb genommen werden. Etwaige Anpassungen sind auch im Anschluss noch möglich. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/3b/30/3b306844a68e60428dc41d4587343cf2/0110595721.jpeg "IDC hat im Februar 2023 in Deutschland branchenübergreifend IT-Verantwortliche und
Fachentscheider aus 200 Unternehmen mit mehr als 100 Mitarbeitern über die Nutzung der Cloud befragt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f1/51/f151c67fc84d62f62fb48571642ac478/0110127139.jpeg "Sichere und einfach zu bedienende Kassen- und Bezahlsysteme sind eines von vielen Beispielen für die Relevanz einer hohen Usability. (Bild: frei lizenziert)")
Cybersecurity IoT-Botnetz Dark Nexus: Analyse und Aufdeckung seiner Netzwerkaktivitäten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Angreifer die eine große Anzahl von IoT-Geräten kompromittieren, bündeln diese normalerweise in Botnets, um DDoS-Angriffe (Distributed Denial-of-Service) auszulösen. Die Sicherheitsexperten der Nozomi Networks Labs haben mehrere Varianten des neuen IoT-Botnets Dark Nexus unter die Lupe genommen.
Massenhaft vorhandene und größtenteils unzureichend geschützte IoT-Geräte bieten Bedrohungsakteuren viele Möglichkeiten. Die meisten dieser Geräte funktionieren im Plug-and-Play-Modus und erfordern keinerlei Konfiguration, Sicherheit ist eine unter mehreren Optionen. Tatsächlich liefern die Hersteller ihre Geräte mit öffentlich bekannten Standardpasswörtern aus. Diese sollen Benutzern den Zugang zum Konfigurationspanel erleichtern.
Ersetzt man solche Passwörter nicht durch neue, starke Passwörter, liefern sie den ersten Zugangsvektor, den Angreifer für sich nutzen. Angreifer, die eine große Anzahl von IoT-Geräten kompromittieren, bündeln diese normalerweise in Botnets, um DDoS-Angriffe (Distributed Denial-of-Service) auszulösen. Diese dienen dazu, Systeme zu deaktivieren, so dass Hacker für Angriffe und jedwede Form finanzieller Bereicherung freie Bahn haben.
DDoS-Angriffe dienen der finanziellen Bereicherung
Die Sicherheitsexperten der Nozomi Networks Labs haben mehrere Varianten des neuen IoT-Botnets „Dark Nexus“ analysiert. Das Botnetz ist erst in den letzten Monaten in Erscheinung getreten, und seine Funktionsmerkmale wurden bereits von den Sicherheitsforschern bei Bitdefender eingehend analysiert. 1. Hier steht demgegenüber die Analyse des Netzwerkverhaltens im Mittelpunkt. Zusätzlich stellen die Experten von Nozomi Networks eine Erkennungssignatur zum Schutz von IoT-, OT- und IT-Netzwerken zur Verfügung.
Dark Nexus ist ein IoT-Botnet, das DDoS-Angriffe zur finanziellen Bereicherung nutzt. Sicherheitsexperten von Nozomi Networks haben das Netzwerkverhalten analysiert und eine Erkennungssignatur zur Verfügung gestellt.
IoT-Botnet Dark Nexus: Drei Kategorien von Netzwerkaktivitäten
Der Dark Nexus-Bot hinterlässt eine deutliche Netzwerkspur, die sich grob in drei Kategorien einteilen lässt:
- C&C-Kommunikation (Command and Control)
- Die Fähigkeit sich selbst weiter zu verbreiten (self-propagating)
- DDoS-Angriffe
Die Fähigkeit, sich selbst eigenständig weiter auszubreiten und DDoS-Angriffe bilden zwar unter Umständen eine einzige Kategorie. Die schlussendlichen Ziele sind aber sehr unterschiedlich, deshalb sollen hier beide getrennt betrachtet werden. Um den Bot im Labor zu requirieren, wurde für den C&C-Server ein Ersatz geschrieben, mit dem die Sicherheitsexperten die Netzwerkaktivität kontrolliert auslösen konnten.
Während der Bot das System, in dem er ausgeführt wird, sorgfältig analysiert und verdächtige Prozesse abbricht, die seine Aktivitäten behindern könnten, bleibt der heikelste Abschnitt der Netzwerk-Parsing-Code. Eine wichtige Funktion für ein Botnet – wenn hier ein Fehler auftritt, kann das für den Bedrohungsakteur katastrophale Folgen haben. Das Botnetz kann zum Beispiel dadurch selbst für DDos-Angriffe anfällig werden oder vollständig von einer anderen Hackergruppe übernommen werden.
Wir haben jede der drei Kategorien bei Dark Nexus analysiert.
C&C-Kommunikation zielt darauf ab, die neueste Version herunterzuladen
Wenn ein Gerät infiziert ist, führt es eine GET-Anforderung aus, um seine IP abzurufen:
GET / HTTP / 1.1
Host: icanhazip.com
Anschließend wird eine Registrierungsnachricht im folgenden Format an den C&C-Server gesendet:
\\x10[first_argument] \\x11[architecture] \\x12[version] \\x13[reverse proxy random port] \\x14[socks proxy random port]
Im obigen Beispiel wurde die Version 6.6 der schädlichen Binärdatei ausgeführt, wobei argv [1] auf "new_vector" gesetzt war und auf einer ARM7-CPU lief. Wenn keine Argumente angegeben werden, wird ein Fragezeichen gesendet. Die Binärdatei hat dann nach dem Zufallsprinzip Port 52750 zur Ausführung des Reverse-Proxys und Port 50999 zur Ausführung eines SOCKS-Proxys ausgewählt.
Die folgende Snort-Regel kann jeder nutzen, um diese Art von Datenverkehr zu erkennen:
# Created by Nozomi Networks Labs
alert tcp any any -> any 30047 (msg:"Detected dark_nexus Botnet CnC Beacon"; flow:established,to_server; content:"|10|"; depth:1; pcre:"/\\x11(arm|arm5|arm6|arm7|mips|mpsl|arc|ppc|x86|i586|i686|m68k|sh4|spc)\\x12\\d+\\.\\d+\\x13\\d+\\x14\\d+$/"; fast_pattern; sid:9000085; metadata:created_at 2020_05_06;)
Darüber hinaus versucht die Binärdatei, neue Versionen von sich selbst für alle verfügbaren Architekturen herunterzuladen, um die Ausführung des jeweils aktuellsten Codes sicherzustellen.
Self-Propagation über Telnet, Port 23 und zufällige IPs
Telnet Brute-Forcing ist unter IoT-Botnets eine typische Methode der Ausbreitung. Dark Nexus benutzt die get_random_ip Funktion, um zufällige IPs zu generieren, wobei sichergestellt wird, dass bestimmte IP-Bereiche (ungültig, localhost, bestimmte Firmen) vermieden werden. Diese Funktion ist der Funktion get_random_ip sehr ähnlich, die man im geleakten Mirai Quellcode findet. ²
Ein SYN-Paket wird dann an die zufällige IP mit Zielport 23 gesendet. Wenn der Telnet-Dienst gerade aktiv und erreichbar ist, wird eine Liste gespeicherter Anmeldeinformationen verwendet, um zu versuchen, sich anzumelden. Die meisten gespeicherten Anmeldeinformationen stammen aus öffentlichen Quellen, z. B. dem geleakten Mirai-Quellcode. Aber es gibt Hinweise darauf, dass der Autor von einer Version zur anderen neue Anmeldeinformationen hinzufügt.
Aus Blue-Team-Sicht unterstreicht die Telnet-Scan-Funktion, so einfach sie auch ist, dass Geräte, die keine vollständige Internet-Exposition brauchen, sie auch nicht haben sollten.
DDoS-Angriffe nutzen diverse Funktionen und generieren Netzwerkverkehr
Die von den Nozomi Networks Labs untersuchten Malware-Versionen enthielten die folgenden Angriffsfunktionen:
- attack_udp_simple
- attack_tcp_raw
- attack_http
- browser_http_req
- attack_udpmop
- attack_udp_plain
- attack_tcp
- attack_ovh
Die Analyse der parse_packet Funktion, die für das Parsen der vom C&C empfangenen Angriffsbefehle verantwortlich ist, führte zu folgender Nachricht, die von der emulierten C&C an den infizierten Host gesendet wurde, um attack_udp_simple auszulösen.
\\x00\\x01\\x02\\x03\\x04\\x01\\xc0\\xa8\\x01\\x06\\xd2\\x04\\x00
msg[0] - attack id
msg[5] - target count
msg[6] - target IP octet 1
msg[7] - target IP octet 2
msg[8] - target IP octet 3
msg[9] - target IP octet 4
msg[10] - target port lsb
msg[11] - target port msb
msg[12] - end marker
Für die attack_http Methode musste die attack_id in der C&C-Nachricht geändert werden. Wie unten gezeigt, wurden die HTTP-Header für jede Anfrage randomisiert.
Sicherheit für IoT-Geräte erfordert sichere Transparenz
IoT-Geräte haben spezifische Eigenheiten, wie z.B. eine begrenzte Rechenleistung, die ihre Überwachung erschweren. Ressourcenintensive Agenten können beispielsweise ihre Funktionalität beeinträchtigen. Aus diesem Grund benötigt ein IoT-Gerät nach einer Infektion mit einem Bot wie Dark Nexus möglicherweise ein Firmware-Update für den Neustart, um wieder ordnungsgemäß zu funktionieren.
Um ein Netzwerk zu sichern und richtig zu verwalten, ist Transparenz für sämtliche IoT-Geräte eine zwingende Voraussetzung. Es existieren Technologien, die die Identifizierung von IoT-Geräten so automatisieren, dass die Verfügbarkeit gewährleistet bleibt. Dazu dient beispielsweise die passive Analyse des Netzwerkverkehrs. Im Zusammenspiel mit Threat Intelligence Services lassen sich IoT- und OT-Netzwerke vor Bedrohungen wie Dark Nexus schützen.
Literaturhinweise:
- [1] Bitdefender.com: New dark_nexus IoT Botnet Puts Others to Shame
- [2] GitHub.com: jgamblin/Mirai-Source-Code
Alessandro Di Pinto ist Security Research Manager und Autor bei Nozomi Networks, San Francisco (USA).
(ID:46613310)