Satori-Malware

IoT-Malware nutzte Zero-Day-Schwachstelle

| Redakteur: Peter Schmitz

Die IoT-Malware Satori nutzte eine Zero-Day-Schwachstelle in Huawei-Routern zum Aufbau eines Botnets.
Die IoT-Malware Satori nutzte eine Zero-Day-Schwachstelle in Huawei-Routern zum Aufbau eines Botnets. (Bild: Pixabay / CC0)

Unit 42, das Forschungsteam von Palo Alto Networks, hat aktuelle Erkenntnisse zur Entwicklungshistorie der IoT-Malware Satori veröffentlicht. Satori ist ein Derivat von Mirai und nutzte mehrere Sicherheitslücken aus, darunter auch eine echte Zero-Day-Schwachstelle.

Aus den Analysedaten der Sicherheitsforscher geht hervor, dass es insgesamt drei Satori-Varianten gibt. Unit 42 fand auch Hinweise, dass die Version, die die Router-Schwachstelle ausnützt, schon Ende November 2017 aktiv war, bevor Huawei die Sicherheitslücke behoben hatte. Dies bedeutet, dass diese Version von Satori ein klassischer Zero-Day-Angriff war: ein Angriff auf eine zuvor unbekannte Schwachstelle, für die dann kein Patch verfügbar war.

Die von den Forschern rekonstruierte Entwicklungshistorie von Satori untermauert die Theorie, dass sich mehr IoT-Malware entwickeln wird, um entweder bekannte Schwachstellen oder sogar Zero-Day-Schwachstellen auszunutzen. Frühe IoT-Malware-Familien wie Gafgyt und die ursprüngliche Mirai-Familie griffen hingegen auf den Einsatz von Standardpasswörtern oder schwachen Passwörtern zurück, um Geräte anzugreifen. Als Reaktion darauf begannen die Hersteller, die Standardpasswörter zu ändern, und die Benutzer setzten stärkere Passwörter ein, um diese Angriffe zu verhindern. Einige IoT-Malware-Autoren haben wiederum darauf reagiert. So haben etwa die Akteure, die hinter Malware-Familien wie Amnesia und IoT_Reaper stecken, die Taktiken geändert, um bekannte Sicherheitslücken für bestimmte IoT-Geräte auszunutzen. Natürlich reagierten die IoT-Anbieter wiederum mit dem Patchen dieser Sicherheitslücken.

Der Schritt zu einem klassischen Zero-Day-Angriff gegen unbekannte, nicht gepatchte Schwachstellen ist ein logischer nächster Schritt seitens der Angreifer. Satori hat sich zu solch einer IoT-Malware-Familie entwickelt, die auf Zero-Day-Schwachstellen abzielt. Als ein Derivat von Mirai verwendet Satori einen Teil von Mirais Quellcode für Telnet-Scanning und Passwort-Brute-Force-Funktionen. Satori identifiziert auch den Typ des IoT-Geräts und zeigt unterschiedliche Verhaltensweisen in verschiedenen Gerätetypen auf. Die Forscher von Unit 42 gehen davon aus, dass der Autor von Satori mit dem Re-Engineering der Firmware vieler IoT-Geräte begonnen hat, um die Typinformationen des jeweiligen Geräts zu sammeln und neue Schwachstellen zu entdecken. Wenn dies der Fall ist, könnte es künftig weitere Versionen von Satori geben, die andere unbekannte Sicherheitslücken in anderen Geräten angreifen.

Die Satori-Malware-Familie zeigt, dass sich die IoT-Malware ständig weiterentwickelt – vom einfachen Brute-Force-Angriff mit Passwort bis hin zum Schwachstellen-Exploit. Mirais Open-Source-Code gibt IoT-Malware-Autoren eine gute Ausgangsbasis, um neue Varianten zu entwickeln. Es wäre ein kritisch zu wertender Trend, wenn IoT-Malware-Autoren nun vermehrt auf bekannte Schwachstellen oder Zero-Day-Schwachstellen setzen, um IoT-Geräte anzugreifen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45089334 / Sicherheitslücken)