- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Hajime ein flexibles Bot-Netz


Bericht: Botnet Hajime hat erhebliches Zerstörungspotential
Hajime fährt eigene Updates für neue Funktionalitäten

- Anzeigen -





Radware warnt vor dem immensen Zerstörungspotential des Botnets Hajime, das bisher einem sogenannten White Hat Hacker zugeordnet wird. Zwar habe der Entwickler des Bots diesen offensichtlich nach wie vor unter Kontrolle und bisher auch keine bösen Absichten erkennen lassen, so Radware, doch das Potential dieses Botnets sei verlockend. So könnten andere Hacker versuchen, Hajime zu hijacken und für ihre eigenen Zwecke zu gebrauchen. Zudem stelle sich die Frage, warum der Entwickler das Botnet so aggressiv ausbaut, wenn er damit keine bösen Absichten verfolgt.

Hajime ist ein sehr ausgefeiltes, gut durchdachtes und flexibles Botnetz, das sich selbst updaten kann, um seinen "Mitgliedern" schnell und sicher neue Funktionalitäten zu verleihen. Es befällt wie Mirai IoT-Geräte mit offenen Telnet-Ports. Deutlich intelligenter als Mirai nutzt Hajime zwar ebenfalls Default Benutzernamen und Passwörter populärer IoT-Geräte, berücksichtigt dabei aber auch das Login Banner des Zielgeräts. So kann es Credentials wesentlich gezielter einsetzen und neue Geräte mit weniger Versuchen infizieren, was die Wahrscheinlichkeit einer temporären Sperre nach x Fehlversuchen deutlich reduziert. Zudem versucht Hajime, eventuell vorhandene Firewall-Regeln zu löschen, die dem ISP einen Zugriff ermöglichen – etwa zu Management- oder Update-Zwecken. Eine UPnP-IGD-Implementierung ermöglicht die Generierung dynamischer Port-Forwarding-Regeln in UpnP-fähigen Geräten, so dass Hajime auch in abgesicherten Heimnetzwerken effizient operieren kann.

Auch wenn bisher keine bösartigen Absichten erkennbar sind, warnt Radware vor einer Vielzahl von Einsatzmöglichkeiten. Hajime könnte benutzt werden für:

• >> Massive DDoS-Attacken

• >> Hochgradig verteiltes Vulnerability Scanning – mit Hilfe von Hajime können mehrere 10.000 oder gar 100.000 infizierte Geräte verwendet werden, um andere Systeme sehr schnell auf neu bekannt gewordene Sicherheitslücken zu scannen – lange bevor diese gepatcht werden.

• >> Massive Überwachung – Hajime kann RTSP Streams infizierter Kameras abfangen

• >> IoT Bricker – Mit der gleichen Technik wie der kürzlich von Radware entdeckte BrickerBot hat Hajime das Potential, befallene Systeme dauerhaft unbrauchbar zu machen. Über den Update-Kanal wäre es ein Leichtes, Hajime auf allen Opfersystemen um entsprechende, destruktive Befehlssequenzen zu erweitern. Mithilfe von geoip könnte man so beispielsweise gezielt alle infizierten Kameras in einer definierten Region lahmlegen.
(Radware: ra)

eingetragen: 15.05.17
Home & Newsletterlauf: 19.06.17


Radware: Kontakt & Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Erfolgreiche Methoden in neuem Gewand

    Forscher von Eset haben sich eine aktuelle Malware-Kampagne der asiatischen Hacker-Gruppe OceanLotus genauer angesehen. Diese Gruppe ist auch unter den Namen APT32 oder APT C-00 bekannt und greift vor allem Ziele in Ostasien an. Laut den Forschungsergebnissen nutzen die Cyberkriminellen zwar weitgehend die gleichen bekannten Prozesse wie bei vorherigen Angriffe, aber eine neue Backdoor. Ein White Paper von Eset zeigt die verschiedenen Methoden für drei Ziele auf: Nutzer zur Ausführung der Backdoor verleiten, die Malware-Analyse verzögern und Entdeckung verhindern.

  • Cyberattacke auf unvorsichtige Nutzer

    Barracuda Networks hat eine neue Form einer Cyberattacke auf unvorsichtige Nutzer identifiziert, die von Kriminellen genutzt werden kann, um Ransomware oder andere Malware zu verbreiten. Die Angreifer nutzen eine für die Nutzer unbekannte Dateiendung innerhalb eines Links, um den bereits bekannten Trojaner Quant Loader zu starten, der in der in der Lage ist, Ransomware zu verbreiten und Passwörter abzugreifen. Die Angriffstechnik über Links in E-Mails ist zwar nicht neu, neu bei dieser Variante ist, dass der URL nicht "http://" vorangestellt ist, sondern "file://", was sie mit Samba verknüpft anstatt eines Webbrowsers.

  • Ziel, sensible Daten stehlen

    Die Experten von Kaspersky Lab haben Teile der Infrastruktur der bekannten russischsprachigen APT-Gruppe "Crouching Yeti" - auch bekannt als Energetic Bear - aufgedeckt, darunter kompromittierte Server auf der ganzen Welt. Laut den Cybersicherheitsexperten waren seit dem Jahr 2016 zahlreiche Server in verschiedenen Ländern betroffen, auch um auf andere Ressourcen Zugriff zu erhalten. Weitere Server, einschließlich derjenigen, die russische Websites hosten, wurden für Wasserloch-Attacken genutzt. Kaspersky Lab hat im Vorfeld der Hannover Messe Industrie, die vom 23. bis zum 27. April 2018 stattfindet, bereits für die zweite Jahreshälfte 2017 überwiegend viele Cyberattacken gegen Organisationen aus den Branchen Energie sowie Maschinenbau und ICS-Integration gemeldet.

  • Miner für Kryptowährungen

    Sicherheitsforscher haben erstmals einen Miner für Kryptowährungen entdeckt, der eine "Kill List"-Funktion enthält. Sie stoppt laufende Prozesse anderer Coinminer und versucht so die Rechenleistung zur Transaktionsverarbeitung eines infizierten Computers komplett für sich in Beschlag zu nehmen. Also quasi rivalisierende Miner auszuschalten. Xavier Mertens, Sicherheitsforscher beim ICS Sans, hält diesen Coinminer an sich aber für nichts Ungewöhnliches, sondern für eine der vielen neuen Malware-Varianten, die sich auf das Mining von Kryptowährungen spezialisiert haben und insbesondere seit Beginn dieses Jahres auftauchen. Seit Anfang 2018 hat sich die Cyberkrimininalität ganz offensichtlich von Ransomware verstärkt auf die Verteilung von Coinminern verlagert.

  • Die Schadsoftware ist in Skins enthalten

    Eine 30-Tage-Datenanalyse von Avast ergab, dass nahezu 50.000 Minecraft-Accounts mit Malware infiziert wurden. Die Schadsoftware kann Festplatten neu formatieren und Backups und Systemprogramme löschen. Das verseuchte Powershell-Script, das die Sicherheitsexperten des Avast Threat Labs entdeckt haben, wird mit Hilfe der Minecraft "Skins" in Form von PNG-Dateien verbreitet. Diese Skins sind beliebte Features, um das Aussehen eines Minecraft Avatars zu verändern. Sie können von diversen Online-Quellen auf die Minecraft-Website hochgeladen werden und stehen dann für die Spieler zum Download bereit.