IoT Reaper
Kurz & knapp:
Reaper (auch: IoT_reaper oder IoTroop) ist ein im September 2017 identifiziertes, stetig wachsendes Botnet. Da es über verschiedene Schwachstellen (Exploits) IoT-fähige Geräte infiziert und somit nur schwer bis gar nicht von gängigen IT-Sicherheitslösungen entdeckt wird, zählt es zu den Advanced Persistent Threats. Potentiell kann das Botnet ‒ wie schon das 2016er Mirai Botnet ‒ für groß angelegte DDoS-Attacken sowie andere Cyberangriffe genutzt werden.
Hintergründe:
Am 20. Oktober berichtete ein als yegenshen bekannter IT-Analyst der Chinesischen Cybersicherheitsfirma Netlab 360 von einem neuen Botnetz, das gezielt IoT-fähige Geräte ins Visier nimmt. Yegenshen bezeichnete das Botnet deshalb als »IoT_reaper«. Mittlerweile hat sich die Kurzform »Reaper« etabliert. Der Analyst sprach in seinem ersten Blogpost von rund 10.000 befallenen Geräten, die allein von einem C2 (Command And Control Server) gesteuert werden. Bereits fünf Tage später war die Zahl für diesen C2 auf 28.000 angestiegen. Er ging benannte den C2 Server als exemplarisch und ging von weiteren C2-Servern aus. Zusätzlich wurden mindestens zwei Millionen IoT-Geräte in einer Warteschleife vermutet, die von Reaper auf eine Nutzung im Botnetz geprüft und nachfolgend infiziert werden sollen.
Alle Angaben in diesem Beitrag mit Stand 23.11.2017.
Herkunft von Reaper
Bislang sind die Autoren von Reaper unbekannt. Erste Analysen zeigen, dass die Malware in Teilen auf dem Code des Mirai-Botnets basiert. Mirai hatte 2016 zirka 500.000 IoT-Devices kompromittiert, die für wiederholte DDoS-Attacken (Distributed-Denial-of-Service) genutzt wurden. Unter anderem wurde damals der DNS-Serviceanbieter Dyn attackiert. Die Attacke auf Dyn führte dazu, dass eine Reihe dort gehosteter Webseiten wie Twitter, Netflix und Reddit für längere Zeit nicht erreichbar waren. Auch für den Hackerangriff auf DSL-Router der Telekom am 27. November 2016 wurde das Mirai-Botnet genutzt.
Auch wenn eine gewisse Verwandtschaft zwischen Reaper und Mirai besteht, unterschieden sich beide Botnets signifikant. Das betrifft vor allem ihre Angriffsvektoren. Mirai erhält Zugriff über die Ausnutzung von Defaultpasswörter von IoT-Geräten, die standardmäßig vom Hersteller eingerichtet und von Anwendern häufig nicht geändert werden.
Reaper dagegen nutzt spezifische Schwachstellen (Exploits) von IoT-Geräten, um die Kontrolle der IoT-Geräte zu übernehmen.
Besonderheiten von Reaper
Laut der Analyse von yegenshen nutzt Reaper Schwachstellen von insgesamt neun IoT-Geräten. Auf die Ausnutzung von Defaultpasswörtern der Hersteller wird verzichtet.
Gerät | Hinweis | Quelle |
|---|---|---|
D-Link 850 L Router | Multiple Schwachstellen | |
D-Link DIR-300 und DIR-600 (rev B) Router | Multiple Schwachstellen | |
Verschiedene Goahead IP-Kameras | Multiple Schwachstellen | https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html |
JAWS CCTV Kameras | Multiple Schwachstellen | |
Netgear ReadyNAS Überwachungssysteme |
| |
Netgear DGN Router | ||
Vacron NVR IP-Überwachungssysteme | ||
VacronLinksys E1500 / E2500 Router | Multiple Schwachstellen | |
VacronAVTech IP-Kameras | Multiple Schwachstellen |
Die Autoren reagieren sehr flexibel auf Änderungen. So wurde die Schwachstelle der IP-Überwachungssysteme vom Typ Vacron NVR nur wenige Tage nach Bekanntwerden in das Botnetz integriert. Das spricht für eine sehr aktive Betreuung des Botnetzes.
Die bisherige vergleichsweise langsame Ausbreitung von Reaper spricht zugleich für ein sehr sorgfältiges Vorgehen der Autoren. Höchstwahrscheinlich versuchen sie weiterhin, die Funktionalität zu testen.
Die Malware ist in einer LUA-Umgebung integriert. LUA ist als einfache und zugleich äußerst mächtige Skriptsprache bekannt, die für komplexe und effiziente Programmierung genutzt wird. Das erhöht das Potential, mit Reaper ebenso komplexe, agil entwickelte Attacken durchzuführen, die weit über die DDoS-Attacken von Mirai hinausgehen.
Das Botnet hat bereits über 100 DNS Open Resolvers in seinem LUA-Sample eingebettet. Damit können über das Reaper Botnet sehr einfach massive DNS-Amplification-Angriffe ausgeführt werden.
Aufbau von Reaper
Reaper besteht aus vier Komponenten, die über verschiedene IP-Adressen erreichbar sind. Vermutlich ist diese Struktur auf mehreren C2-Servern gespiegelt.
1. Downloader: Über diese IP-Adresse können Samples (z. B. weitere Malware-Programme) heruntergeladen werden.
2. Controller: Steuert die Bots und versendet Befehle.
3. Reporter: An diese IP-Adresse werden potentiell angreifbare IoT-Geräte gemeldet und gelistet.
4. Loader: Lädt die Bots über die genannten Exploits auf potentiell angreifbare IoT-Geräte.
Funktionsweise von Reaper
Nach initialer Kontrolle eines IoT-Geräts auf die oben genannten Schwachstellen lädt der Loader das Botprogramm über das entsprechende Exploit auf das Gerät. Bei erfolgreicher Installation übernimmt der Controller sofort die Kontrolle über das Gerät und lädt über den Downloader gegebenenfalls weitere Programme auf das infizierte Gerät. Zusätzlich wird das infizierte Gerät genutzt, um das Netzwerk auf weitere kompromittierbare Geräte zu untersuchen. Identifizierte Geräte werden an den Reporter gemeldet.
Potentiell kann über den Downloader jede erdenkliche Malware auf ein infiziertes Gerät geladen werden. Der Reaper fungiert hierbei ausschließlich als Türöffner und »Geiselnehmer«.
Zweck und Auswirkungen von Reaper
Zum Zeitpunkt dieses Artikels sind weder Zweck noch Auswirkungen des Botnets bekannt. Die Autoren des Reaper waren zu diesem Zeitpunkt noch dabei, das Botnet auszuweiten und zu testen. Bis dato ist das Botnet ‒ abgesehen von der fortlaufenden Infektion neuer IoT-Geräte ‒ inaktiv.
Potentiell ist jede Form von Cyberattacke denkbar, u.a.:
- großflächige DDoS-Attacken wie schon 2016 mit dem Botnet Mirai;
- Einschleusen weiterer Malwares, welche die dahinter liegenden Systeme attackieren, stören oder lahm legen (z. B. über Ransomwares);
So ist zum Beispiel auch ein Übergreifen auf andere Systeme und Netzwerkkomponenten möglich. Das kann sowohl die Unternehmens-IT wie auch industrielle Steuernetze (IIoT-Geräte) betreffen.
Für letzteres sollen hier kurz drei mögliche Wege vorgestellt werden:
1. Ausnutzen von Schwachstellen (Exploits) von IIoT-Devices:
Die Autoren von Reaper arbeiteten sehr agil. Sie reagieren umgehend auf neu bekannt gewordene Exploits und fügen diese den bisherigen Angriffsvektoren hinzu. Es scheint, dass sie nur darauf warten, neue Schwachstellen in Erfahrung zu bringen. Aktuell sind noch keine IIoT-Geräte direkt betroffen. Dies mag daran liegen, dass den Autoren bislang Exploits für die entsprechenden Geräte fehlen. Sobald jedoch neue Schlupflöcher bekannt (oder im Darknet verfügbar) werden, könnte sich das schnell ändern.
2. Ausbreitung der Infektion über die Betriebssystembasis:
Reaper greift mehrheitlich linuxbasierte Geräte an. Das Botnetz nutzt infizierte Geräte, um das Netzwerk auf weitere Devices zu scannen und zu infizieren. Dementsprechend können neben den gerätespezifischen Exploits auch generische Linux-Schwachstellen als Einfallstor genutzt werden. Das erlaubt den Autoren eine Ausweitung der Gerätetypen und Hersteller.
3. IoT-Devices als Mittelsmann:
Reaper greift auf eine mächtige LUA-Umgebung zurück. Es ist daher nicht ausgeschlossen, dass über die infizierten IoT-Devices eine komplexe Malware in die Systeme geschleust wird, die auf »dahinter liegende« Devices zielt. Da IoT-Devices, Office-Devices und IIoT-Devices längst miteinander verbunden sind, könnte eine Netzwerkdurchdringung ganzheitlich erfolgen.
Warum haben die gängigen IT-Sicherheitstechnologien bei Reaper versagt?
Reaper konnte bislang aus drei Gründen unter dem Radar fliegen:
1.Den gängigen Sicherheitslösungen wie Virenscanner, Firewalls und Intrusion Detection Systems sind weder die Schwachstellen der Gerät noch die Malware bekannt. Dadurch haben sie den Reaper nicht als Malware erkannt.
2. Die wenigsten Unternehmen haben bei sich bislang ein System installiert, das Veränderungen innerhalb des eigenen Netzwerkes und innerhalb der Kommunikationsstrukturen lückenlos erkennt (Ebene-2-Absicherung). Sie beschränken sich auf die Perimetersicherung, die jedoch machtlos gegen Advanced Persistent Threats ist.
3. Unternehmen können aufgrund von Kompatibilitätsproblemen und Verfügbarkeitsanforderungen häufig nicht ad hoc ihre Komponenten aktualisieren, um z. B. Sicherheitsupdates zu installieren, welche die Schwachstellen schließen. Die Geräte laufen somit in der Regel über einen längeren Zeitraum mit alten Sicherheitseinstellungen, bleiben infiziert und damit angreifbar.
Hätte die Malware erkannt werden können?
Eine Lösung mit Echtzeit-Anomalieerkennung auf Basis der Deep-Packet-Inspection-Technologie erkennt eine Reaper-Infektion sofort und meldet diese umgehend an den Administrator.
In Bezug auf z. B. IIoT-Geräte würde die Anomalieerkennungslösung Rhebo Industrial Protector die Infektion bereits während der ersten Schritte als neue, ungewöhnliche Kommunikation im Netzwerk erkennen und direkt an den Administrator melden. Aufgrund des Eingriffs von Reaper in die Administratorenrechte des IIoT-Geräts hätte die Risikobewertung von Rhebo Industrial Protector die Anomalie als hochriskant priorisiert. Damit hätte ein umgehendes Einleiten von Gegenmaßnahmen (z. B. Blocken, Quarantäne) erfolgen können.
Die Erstinfektion ‒ also grundlegende Penetration des Netzwerkes ‒ würde damit vermutlich nicht per se abgewehrt werden. Hierfür müssten die Ebene-1-Sicherheitswerkzeuge am Perimeter des Netzwerkes (z. B. Firewall, IDS) den Angriff zuverlässig erkennen. Rhebo Industrial Protector fungiert als Ebene-2-Werkzeug, das alle nicht abgewehrten bzw. blockierten Gefährdungen detektiert und meldet. Rhebo Industrial Protector kann jedoch die Weiterverbreitung sowie das Scharfschalten des Botnets (über neue Befehle des Controllers bzw. das Herunterladen weiterer Programme vom Downloader) mit seiner frühzeitigen Detektion der unbekannten Kommunikation unterbinden.
Quellen:
http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/
http://blog.netlab.360.com/iot_reaper-a-few-updates-en/
https://krebsonsecurity.com/tag/netlab-360/
