logo lineofbiz

Botnet Hajime hat erhebliches Zerstörungspotential

26. April 2017
Radware

Bei Hajime handelt es sich um ein sehr ausgefeiltes, gut durchdachtes und flexibles Bot-Netz, das sich selbst aktualisieren kann, um seinen „Mitgliedern“ schnell und sicher neue Funktionalitäten zu verleihen. Es befällt wie Mirai IoT-Geräte mit offenen Telnet-Ports. Deutlich intelligenter als Mirai nutzt Hajime zwar ebenfalls Default-Benutzernamen und Passwörter populärer IoT-Geräte, berücksichtigt dabei aber auch das Login-Banner des Zielgeräts.

So kann es Anmeldeinformationen wesentlich gezielter einsetzen und neue Geräte mit weniger Versuchen infizieren, was die Wahrscheinlichkeit einer temporären Sperre nach x Fehlversuchen deutlich reduziert. Zudem versucht Hajime, eventuell vorhandene Firewall-Regeln zu löschen, die dem ISP einen Zugriff ermöglichen – etwa zu Management- oder Update-Zwecken. Eine UPnP-IGD-Implementierung ermöglicht die Generierung dynamischer Port-Forwarding-Regeln in UpnP-fähigen Geräten, so dass Hajime auch in abgesicherten Heimnetzwerken effizient operieren kann. Auch wenn bisher keine bösartigen Absichten erkennbar sind, warnt Radware vor einer Vielzahl von Einsatzmöglichkeiten. Hajime könnte benutzt werden für:

• Massive DDoS-Attacken;
• Hochgradig verteiltes Vulnerability Scanning – mit Hilfe von Hajime können mehrere 10.000 oder gar 100.000 infizierte Geräte verwendet werden, um andere Systeme sehr schnell auf neu bekannt gewordene Sicherheitslücken zu scannen – lange bevor diese gepatcht werden.
• Massive Überwachung – Hajime kann RTSP-Streams infizierter Kameras abfangen;
IoT Bricker – Mit der gleichen Technik wie der kürzlich von Radware entdeckte BrickerBot hat Hajime das Potential, befallene Systeme dauerhaft unbrauchbar zu machen. Über den Update-Kanal wäre es ein Leichtes, Hajime auf allen Opfersystemen um entsprechende, destruktive Befehlssequenzen zu erweitern. Mithilfe von geoip könnte man so beispielsweise gezielt alle infizierten Kameras in einer definierten Region lahmlegen. (rhh)

Hier geht es zu einer umfassenden Analyse von Hajime und seiner weltweiten Verbreitung.

Lesen Sie auch

Futuristic concept of an open book with digital holograms and advanced technology, blending literature and cyber elements

So lassen sich Frame-Injektionen erkennen und verhindern

Abstract digital hacker

Einfallstor QR-Codes

Cyber Attack a hacker's hand reaching out from a digital screen, representing a cyber attack that leads to a data breach and compromise of information

Fünf Resilienz-Indikatoren beschleunigen das Recovery