Suchen

Cybersecurity IoT-Botnetz Dark Nexus: Analyse und Aufdeckung seiner Netzwerkaktivitäten

| Autor / Redakteur: Alessandro Di Pinto / Jürgen Schreier

Angreifer die eine große Anzahl von IoT-Geräten kompromittieren, bündeln diese normalerweise in Botnets, um DDoS-Angriffe (Distributed Denial-of-Service) auszulösen. Die Sicherheitsexperten der Nozomi Networks Labs haben mehrere Varianten des neuen IoT-Botnets Dark Nexus unter die Lupe genommen.

Dark Nexus ist ein IoT-Botnet, das DDoS-Angriffe zur finanziellen Bereicherung nutzt. Sicherheitsexperten von Nozomi Networks haben das Netzwerkverhalten analysiert und eine Erkennungssignatur zur Verfügung gestellt.
Dark Nexus ist ein IoT-Botnet, das DDoS-Angriffe zur finanziellen Bereicherung nutzt. Sicherheitsexperten von Nozomi Networks haben das Netzwerkverhalten analysiert und eine Erkennungssignatur zur Verfügung gestellt.
(Bild: Nozomi Networks)

Massenhaft vorhandene und größtenteils unzureichend geschützte IoT-Geräte bieten Bedrohungsakteuren viele Möglichkeiten. Die meisten dieser Geräte funktionieren im Plug-and-Play-Modus und erfordern keinerlei Konfiguration, Sicherheit ist eine unter mehreren Optionen. Tatsächlich liefern die Hersteller ihre Geräte mit öffentlich bekannten Standardpasswörtern aus. Diese sollen Benutzern den Zugang zum Konfigurationspanel erleichtern.

Ersetzt man solche Passwörter nicht durch neue, starke Passwörter, liefern sie den ersten Zugangsvektor, den Angreifer für sich nutzen. Angreifer, die eine große Anzahl von IoT-Geräten kompromittieren, bündeln diese normalerweise in Botnets, um DDoS-Angriffe (Distributed Denial-of-Service) auszulösen. Diese dienen dazu, Systeme zu deaktivieren, so dass Hacker für Angriffe und jedwede Form finanzieller Bereicherung freie Bahn haben.

DDoS-Angriffe dienen der finanziellen Bereicherung

Die Sicherheitsexperten der Nozomi Networks Labs haben mehrere Varianten des neuen IoT-Botnets „Dark Nexus“ analysiert. Das Botnetz ist erst in den letzten Monaten in Erscheinung getreten, und seine Funktionsmerkmale wurden bereits von den Sicherheitsforschern bei Bitdefender eingehend analysiert. 1. Hier steht demgegenüber die Analyse des Netzwerkverhaltens im Mittelpunkt. Zusätzlich stellen die Experten von Nozomi Networks eine Erkennungssignatur zum Schutz von IoT-, OT- und IT-Netzwerken zur Verfügung.

Dark Nexus ist ein IoT-Botnet, das DDoS-Angriffe zur finanziellen Bereicherung nutzt. Sicherheitsexperten von Nozomi Networks haben das Netzwerkverhalten analysiert und eine Erkennungssignatur zur Verfügung gestellt.

IoT-Botnet Dark Nexus: Drei Kategorien von Netzwerkaktivitäten

Der Dark Nexus-Bot hinterlässt eine deutliche Netzwerkspur, die sich grob in drei Kategorien einteilen lässt:

  • C&C-Kommunikation (Command and Control)
  • Die Fähigkeit sich selbst weiter zu verbreiten (self-propagating)
  • DDoS-Angriffe

Die Fähigkeit, sich selbst eigenständig weiter auszubreiten und DDoS-Angriffe bilden zwar unter Umständen eine einzige Kategorie. Die schlussendlichen Ziele sind aber sehr unterschiedlich, deshalb sollen hier beide getrennt betrachtet werden. Um den Bot im Labor zu requirieren, wurde für den C&C-Server ein Ersatz geschrieben, mit dem die Sicherheitsexperten die Netzwerkaktivität kontrolliert auslösen konnten.

Während der Bot das System, in dem er ausgeführt wird, sorgfältig analysiert und verdächtige Prozesse abbricht, die seine Aktivitäten behindern könnten, bleibt der heikelste Abschnitt der Netzwerk-Parsing-Code. Eine wichtige Funktion für ein Botnet – wenn hier ein Fehler auftritt, kann das für den Bedrohungsakteur katastrophale Folgen haben. Das Botnetz kann zum Beispiel dadurch selbst für DDos-Angriffe anfällig werden oder vollständig von einer anderen Hackergruppe übernommen werden.

Wir haben jede der drei Kategorien bei Dark Nexus analysiert.

C&C-Kommunikation zielt darauf ab, die neueste Version herunterzuladen

Wenn ein Gerät infiziert ist, führt es eine GET-Anforderung aus, um seine IP abzurufen:

GET / HTTP / 1.1

Host: icanhazip.com

Anschließend wird eine Registrierungsnachricht im folgenden Format an den C&C-Server gesendet:

\\x10[first_argument] \\x11[architecture] \\x12[version] \\x13[reverse proxy random port] \\x14[socks proxy random port]

(Bild: Nozomi Networks)

Im obigen Beispiel wurde die Version 6.6 der schädlichen Binärdatei ausgeführt, wobei argv [1] auf "new_vector" gesetzt war und auf einer ARM7-CPU lief. Wenn keine Argumente angegeben werden, wird ein Fragezeichen gesendet. Die Binärdatei hat dann nach dem Zufallsprinzip Port 52750 zur Ausführung des Reverse-Proxys und Port 50999 zur Ausführung eines SOCKS-Proxys ausgewählt.

Die folgende Snort-Regel kann jeder nutzen, um diese Art von Datenverkehr zu erkennen:

# Created by Nozomi Networks Labs

alert tcp any any -> any 30047 (msg:"Detected dark_nexus Botnet CnC Beacon"; flow:established,to_server; content:"|10|"; depth:1; pcre:"/\\x11(arm|arm5|arm6|arm7|mips|mpsl|arc|ppc|x86|i586|i686|m68k|sh4|spc)\\x12\\d+\\.\\d+\\x13\\d+\\x14\\d+$/"; fast_pattern; sid:9000085; metadata:created_at 2020_05_06;)

Darüber hinaus versucht die Binärdatei, neue Versionen von sich selbst für alle verfügbaren Architekturen herunterzuladen, um die Ausführung des jeweils aktuellsten Codes sicherzustellen.

In der ersten Phase von Dark Nexus kommuniziert der Bot mit einem C&C-Server und versucht, die neueste Version herunterzuladen und auszuführen. Die Nozomi Networks Labs haben eine kostenlose Snort-Regel veröffentlicht, um diese Netzwerkaktivität zu erkennen.
In der ersten Phase von Dark Nexus kommuniziert der Bot mit einem C&C-Server und versucht, die neueste Version herunterzuladen und auszuführen. Die Nozomi Networks Labs haben eine kostenlose Snort-Regel veröffentlicht, um diese Netzwerkaktivität zu erkennen.
(Bild: Nozomi Networks)

Self-Propagation über Telnet, Port 23 und zufällige IPs

Telnet Brute-Forcing ist unter IoT-Botnets eine typische Methode der Ausbreitung. Dark Nexus benutzt die get_random_ip Funktion, um zufällige IPs zu generieren, wobei sichergestellt wird, dass bestimmte IP-Bereiche (ungültig, localhost, bestimmte Firmen) vermieden werden. Diese Funktion ist der Funktion get_random_ip sehr ähnlich, die man im geleakten Mirai Quellcode findet. ²

Ein SYN-Paket wird dann an die zufällige IP mit Zielport 23 gesendet. Wenn der Telnet-Dienst gerade aktiv und erreichbar ist, wird eine Liste gespeicherter Anmeldeinformationen verwendet, um zu versuchen, sich anzumelden. Die meisten gespeicherten Anmeldeinformationen stammen aus öffentlichen Quellen, z. B. dem geleakten Mirai-Quellcode. Aber es gibt Hinweise darauf, dass der Autor von einer Version zur anderen neue Anmeldeinformationen hinzufügt.

Aus Blue-Team-Sicht unterstreicht die Telnet-Scan-Funktion, so einfach sie auch ist, dass Geräte, die keine vollständige Internet-Exposition brauchen, sie auch nicht haben sollten.

Dark Nexus breitet sich selbstständig aus, indem es Telnet SYN-Scan-Verkehr an Port 23 von zufälligen IP-Adressen aus versendet.
Dark Nexus breitet sich selbstständig aus, indem es Telnet SYN-Scan-Verkehr an Port 23 von zufälligen IP-Adressen aus versendet.
(Bild: Nozomi Networks)

gen_random_ip von dark_nexus dekompiliert
gen_random_ip von dark_nexus dekompiliert
(Bild: Nozomi Networks)

gen_random_ip vom geleakten Mirai-Quellcode
gen_random_ip vom geleakten Mirai-Quellcode
(Bild: Nozomi Networks)

DDoS-Angriffe nutzen diverse Funktionen und generieren Netzwerkverkehr

Die von den Nozomi Networks Labs untersuchten Malware-Versionen enthielten die folgenden Angriffsfunktionen:

  • attack_udp_simple
  • attack_tcp_raw
  • attack_http
  • browser_http_req
  • attack_udpmop
  • attack_udp_plain
  • attack_tcp
  • attack_ovh

Beispiel für dekompilierten Dark Nexus start_attack -Code
Beispiel für dekompilierten Dark Nexus start_attack -Code
(Bild: Nozomi Networks)

Die Analyse der parse_packet Funktion, die für das Parsen der vom C&C empfangenen Angriffsbefehle verantwortlich ist, führte zu folgender Nachricht, die von der emulierten C&C an den infizierten Host gesendet wurde, um attack_udp_simple auszulösen.

\\x00\\x01\\x02\\x03\\x04\\x01\\xc0\\xa8\\x01\\x06\\xd2\\x04\\x00

msg[0] - attack id

msg[5] - target count

msg[6] - target IP octet 1

msg[7] - target IP octet 2

msg[8] - target IP octet 3

msg[9] - target IP octet 4

msg[10] - target port lsb

msg[11] - target port msb

msg[12] - end marker

Beispiel des von der Funktion attack_udp_simple erzeugten Datenverkehrs
Beispiel des von der Funktion attack_udp_simple erzeugten Datenverkehrs
(Bild: Nozomi Networks)

Für die attack_http Methode musste die attack_id in der C&C-Nachricht geändert werden. Wie unten gezeigt, wurden die HTTP-Header für jede Anfrage randomisiert.

Beispiel für Dark Nexus attack_http Netzwerkverkehr
Beispiel für Dark Nexus attack_http Netzwerkverkehr
(Bild: Nozomi Networks)

Sicherheit für IoT-Geräte erfordert sichere Transparenz

IoT-Geräte haben spezifische Eigenheiten, wie z.B. eine begrenzte Rechenleistung, die ihre Überwachung erschweren. Ressourcenintensive Agenten können beispielsweise ihre Funktionalität beeinträchtigen. Aus diesem Grund benötigt ein IoT-Gerät nach einer Infektion mit einem Bot wie Dark Nexus möglicherweise ein Firmware-Update für den Neustart, um wieder ordnungsgemäß zu funktionieren.

Um ein Netzwerk zu sichern und richtig zu verwalten, ist Transparenz für sämtliche IoT-Geräte eine zwingende Voraussetzung. Es existieren Technologien, die die Identifizierung von IoT-Geräten so automatisieren, dass die Verfügbarkeit gewährleistet bleibt. Dazu dient beispielsweise die passive Analyse des Netzwerkverkehrs. Im Zusammenspiel mit Threat Intelligence Services lassen sich IoT- und OT-Netzwerke vor Bedrohungen wie Dark Nexus schützen.

Literaturhinweise:

  • [2] GitHub.com: jgamblin/Mirai-Source-Code

Alessandro Di Pinto ist Security Research Manager und Autor bei Nozomi Networks, San Francisco (USA).

(ID:46613310)