IoT-Botnetze sind weiterhin große Gefahr für Unternehmen

Setzen Unternehmen ungesicherte IoT-Geräte ein, öffnen sie Betreibern von Botnetzen Tür und Tor

Von unserem Gastautor Guido Schaffner, Channel Sales Engineer, NETSCOUT Arbor

[datensicherheit.de, 18.02.2019] IoT-Geräte stellen weiterhin eine große Gefahr für Unternehmen dar. Immer noch sind diese unzureichend gesichert. Im Schnitt haben Anwender nur fünf Minuten Zeit, um die Werkseinstellungen ihrer IoT-Geräte zu verändern. Ansonsten droht eine Übernahme durch Hacker.

IoT-Hersteller vernachlässigen Security-by-Design

Sicherheitslücken, Schwachstellen und Default-Einstellung: Diese drei Kernaspekte beeinflussen maßgeblich die Sicherheit von IoT-Geräten. Kein Wunder also, dass vernetzte Devices bei Cyberkriminellen immer noch hoch im Kurs stehen, um diese missbräuchlich für ihre Zwecke zu nutzen. Anfällige IoT-Geräte können unter anderem Überwachungs- und Sicherheitskameras, Router, Smart-Factory-Devices, Steuerungssysteme, Türöffnungssysteme, Sensoren und Alarmanlagen sein.

Um die Geräte zu infiltrieren, nutzen Hacker die häufig werkseitig voreingestellten Standard-Benutzernamen und Standard-Passwörter wie etwa „1234“ (Default-Einstellung) aus. Spätestens seit 2016 die IoT-Malware Mirai den DNS-Dienst Dyn und Webdienste von Unternehmen weltweit lahmlegte, ist dieses Risiko weithin bekannt. Jüngstes Beispiel ist der taiwanesische Hersteller Resource Data Management für Kühlsysteme. Rund 7.000 Geräte sollen per Default-Hack zugänglich sein, darunter auch Geräte in Deutschland. Dennoch sehen viele Hersteller von IoT-Geräten häufig immer noch nicht vor, dass Anwender derartige Default-Einstellungen überhaupt ändern können. Hinzukommt, dass Hersteller bereits im Internet veröffentlichte Sicherheitslücken und Schwachstellen kaum oder gar nicht patchen. Das Konzept „Security-by-Design“, dass also Sicherheitsanforderungen bereits bei Konzipierung des Gerätes mitbedacht werden, bleibt bei vielen Herstellern immer noch unbeachtet. Sei es aus Ressourcenmangel oder wegen möglicher höherer Produktionskosten.

Hacker setzen IoT-Botnetze vor allem für DDoS-Attacken ein

Um Geräte zu kompromittieren, sind Brute-Force-Methoden immer noch das Mittel der Wahl. Hierbei versuchen die Cyberkriminellen, willkürlich gewählte Geräte automatisiert mit Passwort-Kombinationen bekannter Default-Einstellungen zu infiltrieren. Einmal gehackt, schließen Cyberkriminelle einzelne Geräte oft zu größeren und damit mächtigen Botnetzen zusammen. So ist zwar der Datenverkehr (Traffic), den ein zweckentfremdetes IoT-Gerät alleine generieren kann, nur gering. Doch werden Tausende von ihnen als Cluster zusammengeschlossen sind, können die Hacker Angriffe im dreistelligen Gbps (Gigabit pro Sekunde)-Bereich erzielen.

Vor allem Distributed-Denial-of-Service (DDoS) -Angriffe lassen sich über Botnetze schlagkräftig ausführen. Ziel der Angreifer ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Die Motive reichen von Erpressung und Datendiebstahl über Wettbewerbsschädigung bis hin zu staatlicher Einflussnahme.

Mirai-Ableger sind immer noch hochgefährlich

Und das Gefahrenpotenzial von Botnetzen bleibt weiterhin hoch. So prognostiziert das Analystenhaus IHS Markit: Bis zum Jahr 2030 wird es mehr als 125 Milliarden IoT-Geräte geben. Auch Ableger des Mirai-Botnetzes sind weiterhin im Umlauf und richten Schaden an. Besonders in weiten Teilen Asiens, Brasilien und Spanien konzentrieren sich die Mirai-Botnetz-Knoten. Aktuelle Mirai-Ableger setzen beispielsweise Exploits ein, um Schwachstellen auszunutzen. Um im Internet offen zugängliche Geräte zu ermitteln, nutzen Hacker unter anderem die Suchmaschine Shodan.

Darüber hinaus haben Cyberkriminelle eine eigene Liste mit Benutzernamen und Passwörtern zusammengestellt, die in den öffentlichen Mirai-Quellcode aufgenommen wurde. Dieser Code ermöglichte es jeder Person mit minimalen technischen Fähigkeiten, sein eigenes IoT-Botnetz aufzubauen. So sind Mirai und seine Ableger in der Lage, mehrere Arten von DDoS-Angriffen sowohl auf Netzwerk- als auch auf der Anwendungsschicht zu durchzuführen. Darunter unter fallen Flooding-Angriffe und Überlastungsattacken auf Nameserver.

Wie Unternehmen ihre IoT-Geräte schützen können

Doch was können Unternehmen nun konkret umsetzen, um IoT-Geräte vor möglichem Missbrauch zu schützen?

1. Standard-Anmeldeinformationen ändern und Sicherheitsupdates aufspielen

Unternehmen sollten im ersten Schritt nur IoT-Geräte einsetzen, bei denen sie Default-Einstellungen selbst ändern können. Sind bereits vernetzte Devices im Einsatz, gilt es zu prüfen: Mit welchen Anmeldeinformationen sind diese derzeit ausgestattet. NETSCOUT Arbor hat eine Liste mit häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert. Einige davon sind auch im ursprünglichen Mirai-Quellcode oder in Mirai-Ablegern enthalten:

• admin/admin
• guest/12345
• root/vizxv
• root/xc3511
• support/support
• root/default
• default/default
• root/1001chin
• root/
• telnetadmin/telnetadmin
• root/ttnet
• root/taZz@23495859
• root/aquario
• e8telnet/e8telnet
• admin/
• telnet/telnet
• e8ehome/e8ehome
• root/cat1029
• root/5up
• root/ivdev
• admin/aquario
• root/zsun1188
• default/antslq
• root/founder88
• admin/ipcam_rt5350
• default/

Da Mirai und seine Ableger kontinuierlich das gesamte Internet nach anfälligen Geräten scannen, hilft der Neustart oder Zurücksetzen eines Devices nicht. Innerhalb kurzer Zeit kann ein Gerät wieder kompromittiert werden – dies hat der aktuelle Threat Intelligence Report von NETSCOUT ergeben. Darüber hinaus sollten Geräte über Firmware- und Software-Updates stets auf dem aktuellen Stand gehalten werden. Noch vor dem Kauf sollten Unternehmen prüfen, ob der Hersteller der IoT-Geräte überhaupt regelmäßige Sicherheitsupdates anbietet.

2. Bereits befallene Geräte identifizieren und nicht benötigte Dienste deaktivieren

Für Administratoren gilt es zu prüfen, ob bestehende IoT-Geräte möglicherweise bereits befallen sind. Dazu sollten sie vor allem die TCP-Ports TCP/23 und TCP/2323 kontrollieren, über die Mirai-Hacker den missbräuchlichen Zugriff auf Geräte erlangten. Auch UPnP (Universal Plug and Play)-Funktionen, etwa bei Routern und Kameras, sollten Unternehmen abstellen. So wurden im letzten Jahr aufgrund einer jahrelang unentdeckten UpnP-Lücke mehr als 100.000 Router kompromittiert und als Botnetz zusammengeschlossen. Grundsätzlich empfiehlt es sich, nicht benötigte Dienste und Funktionen an IoT-Geräten immer zu deaktivieren.

3. IoT-Geräte mit Filterrichtlinien ausstatten

Unternehmen sollten ihre Geräte darüber hinaus mit Filterrichtlinie ausstatten. Diese schränken ein, in welchem Umfang und mit welchen anderen Geräten oder Standorten die Devices kommunizieren können. Außerdem gilt es festzulegen, mit welchen Netzwerken sich die Geräte verbinden dürfen. Auch Zugriffskontrolllisten, sogenannte ACLs, können hilfreich sein, um festzulegen: Welcher Endnutzer kann wann Zugriff auf welches Device erhalten.

4. Einsatz von Zero-Trust-Modellen prüfen

Um die Sicherheit weiter zu erhöhen, kann ein Zero-Trust-Modell eingesetzt werden. Hierbei werden neben Geräten, auch alle Anwendungen, Dienste und Benutzer geprüft. Somit wird jeglicher Datenverkehr, ob extern oder intern, gleich behandelt – und als grundsätzlich nicht vertrauenswürdig eingestuft. Jedes Gerät, das mit dem Unternehmensnetzwerk verbunden ist, wird dabei isoliert, gesichert und kontrolliert. IoT-Geräte befinden sich zudem nur in dem Netzwerksegment, das für ihren Anwendungsfall bestimmt ist. Unternehmen sollten jedoch unbedingt bedenken, dass Zero-Trust-Modelle hochgradig aufwändig sind und daher entsprechende Ressourcen erfordern.

5. Honeypots nutzen und eigene Intelligence verbessern

Stehen dem Unternehmen eigene Security-Experten zur Verfügung, können sie mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Botnetz verhält, kann dabei helfen, das Targeting und die Methodik der Hacker zu verstehen. Je mehr Unternehmen über die Taktiken, Techniken und Verfahren (TTPs) ihrer Angreifer wissen, desto besser können sie Schwachstellen identifizieren und sich verteidigen.

6. Mehrstufigen DDoS-Schutz implementieren

Zwar gab es in den letzten 24 Monaten einen dramatischen Anstieg der volumetrischen Distributed- Denial-of-Service (DDoS)-Angriffe, die von IoT-Botnetzen ausgelöst wurden. Doch künftig erwartet NETSCOUT Arbor komplexere Angriffe. So umfasst heutige Botnetz-Malware bereits verschiedene Angriffstechniken, die gleichzeitig über mehrere Vektoren ausgeführt werden können. Bereits 59 Prozent der Service Provider und 48 Prozent der weltweit in einer Studie befragten Unternehmen verzeichneten 2017 sogenannte Multivektor-Angriffe. Dies sind gleichzeitige Attacken auf die IT-Infrastruktur an verschiedenen und potenziellen Schwachstellen. Dies erschwert Unternehmen die Abwehr, während die Erfolgschancen der Angreifer steigen.

Sicherheitsexperten sind sich daher einig, dass Unternehmen auf mehrstufige DDoS-Abwehrmaßnahmen setzen sollten. Mehrstufige Abwehrlösungen setzen sich aus einer vor Ort installierten Komponente und aus einer Cloud- beziehungsweise beim Internet Service Provider (ISP) vorhandenen Komponente zusammen. Die On-Premise-Komponente ermöglicht dabei die sofortige Erkennung und Bekämpfung von Angriffen, bevor es zu Auswirkungen auf Dienste kommt. Außerdem eignet sich diese besonders für die Abwehr von Attacken auf Anwendungsebene. Hochvolumige Angriffe werden hingegen in der Cloud direkt beim ISP mitigiert.

Auch Laien können Botnetz-Angriffe durchführen

Vor allem der öffentlich zugängliche Schadcode von Mirai, auf denen heute noch viele IoT-Botnetze basieren, bleibt gefährlich. So wurde die ursprüngliche Mirai-Codebasis kontinuierlich um neue Funktionen erweitert, sodass zahlreiche weitere Varianten wie etwa OMG, JENX, Satori und IoTrojan existieren. Akteure gehen außerdem dazu über, bestehende Botnetze an Dritte weiterzuvermieten. Diese sind dann in der Lage, einen Angriff gegen Bezahlung ausführen. Für 7.500 US-Dollar wurde beispielsweise der Zugriff auf das Mirai-Botnetz gewährt. Ein kurzzeitiger Angriff über ein vergleichsweise kleines Botnetz lässt sich heute schon für weniger als 5 US-Dollar im Darknet akquirieren. Unternehmen müssen sich also der Gefahrenlage bewusst sein und entsprechend vorbereiten. Da Botnetze vor allem für DDoS-Attacken genutzt werden, ist eine geeignete DDoS-Abwehrlösung unabdingbar. Diese Lösung sollte, laut übereinstimmender Meinung von Sicherheitsexperten, mehrstufige Abwehrfunktionen enthalten.

Guido Schaffner ist Channel Sales Engineer bei NETSCOUT Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen. Dort ist er verantwortlich für die DDoS-Abwehrlösungen von NETSCOUT Arbor sowie das Channel-Geschäft in der DACH-Region. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.

Weitere Informationen zum Thema:

datensicherheot.de, 24.10.2018
IoT-Botnetze nutzen weiterhin erfolgreich Standardpasswörter aus

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things