IoT-Botnetze nutzen weiterhin erfolgreich Standardpasswörter aus

NETSCOUT Arbor identifiziert Liste mit 1.065 Kombinationen aus Benutzername und Passwort aus 129 verschiedenen Ländern

[datensicherheit.de, 24.10.2018] Hacker nutzen weiterhin erfolgreich werkseitig voreingestellte Benutzernamen und Passwörter (Default-Einstellung) in IoT-Geräten aus, um Botnetze aufzubauen. Per Brute-Force-Methode wählen Cyberkriminelle nach dem Zufallsprinzip Ziel-Geräte aus. Anschließend versuchen sie diese automatisiert mit Kombinationen aus Default-Einstellungen zu infiltrieren. Für den Monat September konnte NETSCOUT Arbor eine Liste mit 1.065 Kombinationen aus 129 verschiedenen Ländern identifizieren. Vor allem Distributed-Denial-of-Service (DDoS) -Angriffe lassen sich über Botnetze schlagkräftig ausführen. Ziel der Hacker, die DDoS-Angriffe einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen.

Die Top 5 der Default-Kombination im Monat September sind:

• admin/admin
• guest/12345
• root/vizxv
• root/xc3511
• support/support
• root/default

Hinweis: Diese Passwort-Kombinationen sind auch mit dem ursprünglichen Mirai-Quellcode enthalten. Die zwei Kombinationen vizxv und xc3511, die auf die DVRs (digitale Videorekorder) abzielen, verhalfen dem ursprünglichen Mirai-Botnetz zum Erfolg.

Darüber hinaus hat NETSCOUT Arbor eine Liste der häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert, die nicht im ursprünglichen Mirai-Quellcode enthalten sind:

• default/default
• root/1001chin
• root/
• telnetadmin/telnetadmin
• root/ttnet
• root/taZz@23495859
• root/aquario
• e8telnet/e8telnet
• admin/
• telnet/telnet
• e8ehome/e8ehome
• root/cat1029
• root/5up
• root/ivdev
• admin/aquario
• root/zsun1188
• default/antslq
• root/founder88
• admin/ipcam_rt5350
• default/

Diese Liste enthält eine Mischung der Benutzernamen und Passwörter aus Basic, Default/Default und Root/ sowie spezifischen Kombinationen aus Root/1001chin und Root/taZz@23495859. Die spezifischeren Passwörter beziehen sich auf die werkseitigen Voreinstellungen für bestimmte Geräte. In den letzten zwei Jahren haben sich Angreifer darauf konzentriert, neue Geräte aufzunehmen.

Wenn ein automatisierter Bot, wie Mirai, einen Brute-Force-Angriff durchführt, besteht die Möglichkeit, dass das ausführende Gerät für genau denselben Angriff anfällig ist. Tatsächlich ist es möglich, dass das Gerät, das die Brute-Force-Attacke ausführt, bereits über den gleichen Angriff, vielleicht sogar die gleiche Kombination aus Benutzername und Passwort, zum Teil des Botnetzes wurde. Einige Geräte treten in bestimmten Ländern stärker in Erscheinung, entweder aufgrund der Verfügbarkeit oder der Popularität. Diese Liste zeigt die Popularität einiger Usernamen-/ Passwort-Kombinationen im lokalen Ranking (Land) gegenüber der globalen Verteilung dieser Kombination (overall Rank):

Die Kombination root/20080826, die hauptsächlich aus Russland stammt, scheint auf das Gerät TM02 TripMate – ein tragbarer WLAN Router – abzuzielen. Die Kombination vstarcam2015/20150602 zielt wahrscheinlich auf Webcams ab. Beide Geräte sind in den USA erhältlich, aber vor allem in Russland sehr beliebt. Da die Quellen gut verteilt sind, handelt es ich aller Wahrscheinlichkeit nach nicht um ein gezieltes Scannen, sondern um das Verhalten eines Bots. Die Kombination Telecomadmin/Admintelecom zielt auf Huawei-Geräte ab, die außerhalb westlicher Länder deutlich weiter verbreitet sind. Die Kombination aus Benutzernamen und Passwörtern aus dem Iran könnte auf einen älteren Bot hinweisen.

Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor, kommentiert: „IoT-Bots wählen ihr Ziel nach dem Zufallsprinzip und probieren solange Default-Kombinationen aus, bis die Liste erschöpft oder der Angriff erfolgreich ist. Security-Experten können mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Botnetz verhält, kann dabei helfen, das Targeting und die Methodik der Betreiber zu verstehen. Zusammenfassend zeigen unsere Untersuchungen, dass IoT-Geräte immer noch sehr leicht infiltriert werden können und daher anfällig für eine missbräuchliche Verwendung sind.“

Hintergrundinformationen:

Die IoT-Malware Mirai aus dem Jahr 2016 nutzte vor allem Standardbenutzernamen und Passwörter aus, um sich erfolgreich zu verbreiten. Darauf basierend wurden mehrere Mirai-Ableger entwickelten, die unter anderem Exploits einsetzten, um Schwachstellen auszunutzen. Später haben die Mirai-Macher eine eigene Liste mit Benutzernamen und Passwörtern zusammengestellt, die in den öffentlichen Mirai-Quellcode aufgenommen wurde. Dieser Code ermöglichte es jeder Person mit minimalen technischen Fähigkeiten, sein eigenes IoT-Botnetz aufzubauen. Einige Hacker erstellten daraufhin eigene benutzerdefinierte Listen mit Benutzernamen und Passwörtern, um Geräte zu infizieren, die bisher nicht infiltriert waren.

Weitere Informationen zum Thema:

Arbor Networks® ASERT
Karte mit Telnet-basierten Brute-Force-Angreifern

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 29.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein