Ethical Hacker analysierte IPv4-Adressraum per Linux-Botnet

Ein Port-Scanner aus Routern und Set-Top-Boxen

| Redakteur: Stephan Augsten

Das Carna-Botnetz bestand aus rund 420.000 Embedded-Linux-Geräten.
Das Carna-Botnetz bestand aus rund 420.000 Embedded-Linux-Geräten. (Bild: Carna Botnet)

Um die Größe und Sicherheit des IPv4-basierten Internets auf die Probe zu stellen, hat ein anonymer Hacker einen verteilten Port-Scanner geschaffen. Hierzu baute er das Botnetz „Carna“ aus über 420.000 unsicheren Breitband-Modems, Routern und anderen Embedded Devices auf.

Im Rahmen einer Forschungsarbeit hat ein Hacker herausgefunden, dass rund 1,3 Milliarden IPv4-Adressen im Internet sichtbar sind und aktiv verwendet werden. Um zu dieser Erkenntnis zu gelangen, bediente er sich einer ebenso genialen wie rechtlich und ethisch fragwürdigen Methode: Er baute sich ein Botnetz namens Carna, das aus Embedded Devices bestand – also Geräten mit eingebettetem Betriebssystem (in der Regel Linux).

Aber wie baut man ein solches verteiltes Netzwerk auf? Eigentlich sollten Router, Set-Top-Boxen und ähnliche Systeme über das Internet nämlich gar nicht sichtbar sein. Weit gefehlt, wie der Autor des Forschungsberichts „Internet Census 2012: Port scanning /0 using insecure embedded devices“ weiß.

Vor zwei Jahren sei ihm die ursprünglich nicht ganz ernst gemeinte Idee gekommen, Standard-Zugangsdaten wie den klassischen Telnet-Login root:root auf verschiedenen IP-Adressen auszuprobieren. Die Anfragen setze er mit der Nmap Scripting Engine ab, bereits bei ersten Versuchen habe er zahlreiche ungesicherte Geräte im Internet entdeckt.

Aufbau des Carna-Botnetzes

Um die Sicherheit weiter auf die Probe zu stellen, entwickelte der Autor eine Binary, die auf bereits als anfällig identifizierten Geräten hinterlegt wurde. Ein Teil des Codes war für das Port-Scanning vorgesehen und enthielt unter anderem den zu scannenden IP-Adressraum sowie eine Upload-Adresse zur „Berichterstattung“. Die zweite Komponente scannte jede gefundene IPv4-Adresse auf den Telnet-Port 23.

Nach einem erfolgreichen Telnet-Scan probierte die Binary automatisch einfache Login/Passwort-Kombinationen wie root:root oder admin:admin aus und verbreitete sich so selbständig weiter. Nach nur einer Nacht habe man 30.000 Infektionen erreicht und die automatisierte Verteilung vorerst gestoppt, so der Autor. Er schlussfolgerte, dass mehrere hunderttausend Geräte nur mit dem Root-Passwort „root“ abgesichert sein müssten.

Tatsächlich gelang es im Rahmen der weiteren Forschungsarbeit, die Kontrolle über etwa 420.000 Embedded Devices zu übernehmen. Strikte Vorgaben sorgten dafür, dass die Binary sich nur auf Geräten mit gewissen CPU- und RAM-Mindestvoraussetzungen installierte. Außerdem wurde die Aktivität der Binary beschränkt, um Geräteausfälle zu vermeiden. Kritische Systeme wie Industrial Control Systems hätte man bewusst gar nicht erst infiziert, so der Autor.

Nichtsdestotrotz hat der Hacker mit seinen Aktivitäten natürlich gegen die Gesetze verschiedenster Länder verstoßen. Prinzipiell hätte der Hacker die Binary aber immerhin noch weiter verteilen können, In der Folge ging es ihm aber offensichtlich nur noch darum, einen möglichst großen Teil des IPv4-Adressraums im Internet zu scannen. Hierfür nutzte er ICMP-Pings, Reverse DNS, Nmap und die zugehörigen Service Probes sowie Traceroute.

Die zurückgelieferten Ergebnisse visualisierte er auf Weltkarten, die sich allesamt im veröffentlichten Forschungspapier finden. Hier einige der wichtigsten Erkenntnisse:

  • 420 Millionen IPs antworteten mehr als einmal auf ICMP-Ping-Anfragen.
  • 165 Millionen IPs hatten einen oder mehrere offene Ports im Bereich der ersten 150 Ports, 36 Millionen davon antworteten nicht auf den ICMP Ping.
  • 141 Millionen IPs ließen keine Port-Verbindungen zu und antworteten gar nicht erst auf ICMP Pings. Die meisten davon waren dem Autor zufolge IP-Adressräume hinter einer Firewall.
  • Über eine Milliarde IPs lieferten einen „Reverse DNS“-Eintrag, 729 Millionen davon antworteten nicht auf einen Service Probe.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38796550 / Sicherheitslücken)