Variante des gefürchteten IoT Botnet Mirai gefunden Mining Bitcoin

Das Mirai-Botnet hat begonnen, einen Windows-Trojaner zu verwenden, um mit Bitcoin-Mining-Fähigkeiten zu expandieren. IBMs XForce-Forschungsteam X-Force hat eine neue Variante der Malware ELF Linux / Mirai mit der integrierten Bitcoin-Mining-Funktion gefunden.

Das Mirai-Botnet wurde geschaffen, um auf IOT-Geräten (Internet of Things) zu finden und dort einzubetten, um das Botnetz zu erweitern und DDoS-Angriffe (Distributed Denial of Service) durchzuführen. Ein IBM-Bericht beschrieb im vergangenen Jahr erfolgreiche Angriffe auf dieses Botnet. Die Variante wurde im August 2016 von MalwareMustDie, einem Sicherheitsforscher, gefunden. Die Angriffe umfassten einen auf DynDNS, der den Verkehr an vielen der Ostküste verlangsamte.

Die Verwendung von IOT-Geräten für Bitcoins ist neuartig. Krebs on Security wandte sich vor vier Jahren an Bitcoin-Mining-Bots, in denen PCs als Hosts dienten. Mining-Bitcoins sind jedoch CPU-intensiv. Es würde eine Reihe von kompromittierten Geräten benötigen, um Bitcoin-Mining zu einer hohen Einnahmequelle zu machen.

Angreifer würden einen Bitcoin-Austausch eher angreifen, wie aus früheren Fällen hervorgeht. Es besteht jedoch die Möglichkeit, dass die Malware-Nutzer Bitcoin durch kompromittierende IoT-Geräte abbauen wollen.

Eine kürzlich durchgeführte ELF-Linux / Mirai-Kampagne, die zwar kurzlebig, aber sehr umfangreich war, verwendete einen Bitcoin Miner-Slave und griff IBM X-Force-Clients an.

Traffic, der Links zu ELF 64-Bit-Binärdateien enthält, wurde im März 2017 veröffentlicht. Die Aktivität sprang innerhalb von vier Tagen um 50 Prozent und sank dann nach acht Tagen.

Angriff kam in Phasen

Laut David McMillen, Senior Threat Researcher bei IBM Security Services, erfolgte der Angriff in mehreren Phasen, wobei zunächst das Opfersystem ausgenutzt wurde. Der Miner war eine Infektion der zweiten Stufe, da der Bitcoin-Client nicht in die Mirai-Malware eingebettet war. Der Miner war Teil eines Archivs von Dateien, die einen Mirai-Dropper, einen Bitcoin-Miners-Slave, eine Linux-Shell und Dofloo-Backdoor enthielten.

Die gleiche Mirai-Funktionalität wurde in einem Beispiel gefunden, das von der Windows-Version portiert wurde, aber mit einem Fokus auf Linux-Maschinen, auf denen BusyBox läuft. BusyBox bietet einfache Unix-Tools in digitalen Videoaufzeichnungsservern und eine ausführbare Datei. Es verwendet Telnet, das mit einem Brute-Force-Tool in der Mirai-Software angesprochen wird. Die DVR-Server verwenden die Standard-Telnet-Anmeldeinformationen, weshalb sie gezielt verwendet wurden.

Lesen Sie auch: Malware macht Server zu Kryptowährungs-Mining-Engines

Das Telnet-Protokoll dient als Gateway zur Untergrabung von IOT-Geräten, von denen viele Telnets Fernzugriffsfunktionen verwenden.

Mirai-Bots können die üblichen Angriffe mithilfe mehrerer Überflutungstools mit HTTP-, UDP- und TCP-Protokollen durchführen. Darüber hinaus verfügt die Windows-Version WL4-A0ACM1 über weitere Funktionen wie Brute-Force-Angriffstools und SQL-Injection.

Bitcoin Miner Slave

Der Bitcoin Miner Slave stellte die Frage, wie effektiv ein Bitcoin Miner auf einem IOT-Gerät arbeiten würde, dem es nicht möglich ist, eine Menge Bitcoins zu erstellen.Aber angesichts der Fähigkeit von Mirai, Tausende von Geräten gleichzeitig zu attackieren, könnten die Minenarbeiter als Bergarbeiterkonsortium unisono agieren.

In einer Webkonsole wurde ein Mirai-Dropper gefunden. Die Website diente als Archivspeicher für Malware-Pakete, der einen Echtzeit-Zähler für infizierte Opfer enthält.

Alle Beteiligten müssen zusätzlich zu den Herstellern auch Geräte von Unternehmen und Privatanwendern schützen. DDoS-Botnets könnten zu Bitcoin-Minern werden.

Ausgewähltes Bild von Shutterstock.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.