Ein Beitrag von unserem Gastautor Chris Sherry, Regional Vice President, EMEA Central bei Forescout Technologies Inc.

[datensicherheit.de, 19.06.2020] Am 16. Juni 2020 wurden von der JSOF insgesamt 19 Schwachstellen, die zusammen als Ripple20 bezeichnet werden und den eingebetteten IP-Stack von Treck betreffen, öffentlich gemacht. Vier der Schwachstellen weisen einen kritischen CVSS-Wert auf, wobei die Auswirkungen unter anderem die entfernte Code-Ausführung und die Preisgabe sensibler Informationen betreffen. Die Schwachstellen wirken sich potentiell auf mehrere Millionen Geräte von über 50 Anbietern aus. Sicherheitsforscher der Forescout Research Labs haben sich mit der JSOF zusammengetan, um deren Analyse mit detaillierten Endgeräteinformationen aus der Forescout Device Cloud zu kombinieren, einer Wissensdatenbank mit mehr als 11 Millionen Geräten. Identifiziert wurden mehr als 90.000 potentiell anfällige IoT-Geräte von über 50 Herstellern. Beispiele für betroffene Geräte sind Infusionspumpen in Krankenhäusern, USV-Systeme (unterbrechungsfreie Stromversorgung) in Rechenzentren und Videokonferenzsysteme in Unternehmen.

Chris Sherry, Forescout Technologies Inc., Bild: Forescout

Vollständiger Schutz nur durch Patchen von Geräten

Ein vollständiger Schutz vor Ripple20 erfordert das Patchen von Geräten, auf denen die anfällige Version des IP-Stacks läuft. Dies ist jedoch nicht so einfach, denn Geräte mit eingebetteten Systemen sind notorisch schwierig zu verwalten und zu aktualisieren. Der Grund ist, das herkömmliche Endpunkt-Agenten meist nicht installiert werden können und Aktualisierungen in der Regel Firmware-Updates erfordern. Viele der betroffenen Geräte sind jedoch Teil von kritischen Systemen und Infrastrukturen, die das Patchen kompliziert machen. Außerdem müssen Patches von den Herstellern der Geräte zur Verfügung gestellt und oft sogar ausgerollt werden. Bestimmte Patches sind möglicherweise noch nicht verfügbar oder werden nie verfügbar sein, da einige Anbieter nicht mehr geschäftlich tätig sind.

Inventarisierung aller Geräte im Netzwerk

Um Sicherheitsrisiken, die durch die aktuellen Schwachstellen entstehen, zu begegnen, sollten Unternehmen alle Geräte in ihrem Netzwerk inventarisieren. Sie müssen Kontrollen zur Risikominderung durchzusetzen und Patch-Updates priorisieren. Darüber hinaus tragen Segmentierung, Isolierung und Kontrolle des Netzwerkzugriffs für gefährdete Geräte zur Risikominderung bei. Automatische Alarme zur Information von IT-Sicherheitsabteilungen und Incident Response-Teams helfen dabei, die Spreu vom Weizen zu trennen und die wichtigsten Sicherheitsvorfälle frühzeitig zu erkennen.

Weitere Informationen zum Thema:

Forescout-Blog
Identifying and Protecting Devices Vulnerable to Ripple20

datensicherheit.de, 26.02.2019
Forescout-Studie: Unternehmen spüren veränderte Sicherheitslage

[datensicherheit.de, 09.03.2019] Die Gegner im Cyberspace waren in der zweiten Hälfte des Jahres 2018 extrem fleißig. Das zeigen die Statistiken aus F-Secures weltweitem Netzwerk von Honeypots. Diese verzeichneten in diesem Zeitraum einen vierfachen Anstieg der Aktivitäten für gezielte Angriffe und Spähversuche.

Wachsende Zahl an IoT-Geräten

Die am häufigsten zu beobachtende Aktivität lief über das Telnet-Protokoll, was nach Meinung der Sicherheitsforscher von F-Secure auf die wachsende Zahl an IoT-Geräten zurückzuführen ist. Auf den dahinterliegenden Plätzen liegen die Protokolle SSH, SMB und SMTP. Die Kompromittierung von Webservern zeigte sich als ein sehr beliebter Angriffsvektor. Angriffe mit Ursprung in den USA und Russland dominierten, gefolgt von Italien und Großbritannien.

Bild: F-Secure

Wie in den vergangenen Jahren, veröffentlicht F-Secure halbjährliche Berichte über Aktivitäten, die im weltweiten Honeypot-Netzwerk oder den Lockvogel-Servern zu sehen ist. Diese wurden speziell dafür eingerichtet, um Angreifer anzuziehen und ihr Verhalten zu beobachten. Die Honeypots emulieren populäre Dienste wie SMB, SSH und HTTP. Die von den Honeypots verzeichneten Aktivitäten sind ein guter Indikator für Trends in der gesamten Angriffslandschaft.

Anstieg de Aktivitäten auf dem SMB-Port 445

Nach den Ausbrüchen von WannaCry und NotPetya im Jahr 2017 verzeichneten die Sicherheitsforscher einen Anstieg der Aktivitäten auf dem SMB-Port 445, der bis zu diesem Zeitpunkt stets eine äußerst geringe Aktivität zeigte. Auch jetzt ist ein weiterhin erhöhtes Niveau des SMB-Verkehrs zu sehen.

Weitere Informationen zum Thema:

F-Secure
Threat Landscape Report zum zweiten Halbjahr 2018: Anzahl der Attacken ist um das Vierfache gewachsen

datensicherheit.de, 28.02.2019
NETSCOUT-Cybersicherheitsreport: Herausforderungen für Unternehmen

datensicherheit.de, 16.08.2018
Studie zu Reaktionsmaßnahmen auf Attacken gegen industrielle Kontrollsysteme

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

Von unserem Gastautor Guido Schaffner, Channel Sales Engineer, NETSCOUT Arbor

[datensicherheit.de, 18.02.2019] IoT-Geräte stellen weiterhin eine große Gefahr für Unternehmen dar. Immer noch sind diese unzureichend gesichert. Im Schnitt haben Anwender nur fünf Minuten Zeit, um die Werkseinstellungen ihrer IoT-Geräte zu verändern. Ansonsten droht eine Übernahme durch Hacker.

IoT-Hersteller vernachlässigen Security-by-Design

Sicherheitslücken, Schwachstellen und Default-Einstellung: Diese drei Kernaspekte beeinflussen maßgeblich die Sicherheit von IoT-Geräten. Kein Wunder also, dass vernetzte Devices bei Cyberkriminellen immer noch hoch im Kurs stehen, um diese missbräuchlich für ihre Zwecke zu nutzen. Anfällige IoT-Geräte können unter anderem Überwachungs- und Sicherheitskameras, Router, Smart-Factory-Devices, Steuerungssysteme, Türöffnungssysteme, Sensoren und Alarmanlagen sein.

Um die Geräte zu infiltrieren, nutzen Hacker die häufig werkseitig voreingestellten Standard-Benutzernamen und Standard-Passwörter wie etwa „1234“ (Default-Einstellung) aus. Spätestens seit 2016 die IoT-Malware Mirai den DNS-Dienst Dyn und Webdienste von Unternehmen weltweit lahmlegte, ist dieses Risiko weithin bekannt. Jüngstes Beispiel ist der taiwanesische Hersteller Resource Data Management für Kühlsysteme. Rund 7.000 Geräte sollen per Default-Hack zugänglich sein, darunter auch Geräte in Deutschland. Dennoch sehen viele Hersteller von IoT-Geräten häufig immer noch nicht vor, dass Anwender derartige Default-Einstellungen überhaupt ändern können. Hinzukommt, dass Hersteller bereits im Internet veröffentlichte Sicherheitslücken und Schwachstellen kaum oder gar nicht patchen. Das Konzept „Security-by-Design“, dass also Sicherheitsanforderungen bereits bei Konzipierung des Gerätes mitbedacht werden, bleibt bei vielen Herstellern immer noch unbeachtet. Sei es aus Ressourcenmangel oder wegen möglicher höherer Produktionskosten.

Hacker setzen IoT-Botnetze vor allem für DDoS-Attacken ein

Um Geräte zu kompromittieren, sind Brute-Force-Methoden immer noch das Mittel der Wahl. Hierbei versuchen die Cyberkriminellen, willkürlich gewählte Geräte automatisiert mit Passwort-Kombinationen bekannter Default-Einstellungen zu infiltrieren. Einmal gehackt, schließen Cyberkriminelle einzelne Geräte oft zu größeren und damit mächtigen Botnetzen zusammen. So ist zwar der Datenverkehr (Traffic), den ein zweckentfremdetes IoT-Gerät alleine generieren kann, nur gering. Doch werden Tausende von ihnen als Cluster zusammengeschlossen sind, können die Hacker Angriffe im dreistelligen Gbps (Gigabit pro Sekunde)-Bereich erzielen.

Vor allem Distributed-Denial-of-Service (DDoS) -Angriffe lassen sich über Botnetze schlagkräftig ausführen. Ziel der Angreifer ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Die Motive reichen von Erpressung und Datendiebstahl über Wettbewerbsschädigung bis hin zu staatlicher Einflussnahme.

Mirai-Ableger sind immer noch hochgefährlich

Und das Gefahrenpotenzial von Botnetzen bleibt weiterhin hoch. So prognostiziert das Analystenhaus IHS Markit: Bis zum Jahr 2030 wird es mehr als 125 Milliarden IoT-Geräte geben. Auch Ableger des Mirai-Botnetzes sind weiterhin im Umlauf und richten Schaden an. Besonders in weiten Teilen Asiens, Brasilien und Spanien konzentrieren sich die Mirai-Botnetz-Knoten. Aktuelle Mirai-Ableger setzen beispielsweise Exploits ein, um Schwachstellen auszunutzen. Um im Internet offen zugängliche Geräte zu ermitteln, nutzen Hacker unter anderem die Suchmaschine Shodan.

Darüber hinaus haben Cyberkriminelle eine eigene Liste mit Benutzernamen und Passwörtern zusammengestellt, die in den öffentlichen Mirai-Quellcode aufgenommen wurde. Dieser Code ermöglichte es jeder Person mit minimalen technischen Fähigkeiten, sein eigenes IoT-Botnetz aufzubauen. So sind Mirai und seine Ableger in der Lage, mehrere Arten von DDoS-Angriffen sowohl auf Netzwerk- als auch auf der Anwendungsschicht zu durchzuführen. Darunter unter fallen Flooding-Angriffe und Überlastungsattacken auf Nameserver.

Wie Unternehmen ihre IoT-Geräte schützen können

Doch was können Unternehmen nun konkret umsetzen, um IoT-Geräte vor möglichem Missbrauch zu schützen?

1. Standard-Anmeldeinformationen ändern und Sicherheitsupdates aufspielen

Unternehmen sollten im ersten Schritt nur IoT-Geräte einsetzen, bei denen sie Default-Einstellungen selbst ändern können. Sind bereits vernetzte Devices im Einsatz, gilt es zu prüfen: Mit welchen Anmeldeinformationen sind diese derzeit ausgestattet. NETSCOUT Arbor hat eine Liste mit häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert. Einige davon sind auch im ursprünglichen Mirai-Quellcode oder in Mirai-Ablegern enthalten:

• admin/admin
• guest/12345
• root/vizxv
• root/xc3511
• support/support
• root/default
• default/default
• root/1001chin
• root/
• telnetadmin/telnetadmin
• root/ttnet
• root/taZz@23495859
• root/aquario
• e8telnet/e8telnet
• admin/
• telnet/telnet
• e8ehome/e8ehome
• root/cat1029
• root/5up
• root/ivdev
• admin/aquario
• root/zsun1188
• default/antslq
• root/founder88
• admin/ipcam_rt5350
• default/

Da Mirai und seine Ableger kontinuierlich das gesamte Internet nach anfälligen Geräten scannen, hilft der Neustart oder Zurücksetzen eines Devices nicht. Innerhalb kurzer Zeit kann ein Gerät wieder kompromittiert werden – dies hat der aktuelle Threat Intelligence Report von NETSCOUT ergeben. Darüber hinaus sollten Geräte über Firmware- und Software-Updates stets auf dem aktuellen Stand gehalten werden. Noch vor dem Kauf sollten Unternehmen prüfen, ob der Hersteller der IoT-Geräte überhaupt regelmäßige Sicherheitsupdates anbietet.

2. Bereits befallene Geräte identifizieren und nicht benötigte Dienste deaktivieren

Für Administratoren gilt es zu prüfen, ob bestehende IoT-Geräte möglicherweise bereits befallen sind. Dazu sollten sie vor allem die TCP-Ports TCP/23 und TCP/2323 kontrollieren, über die Mirai-Hacker den missbräuchlichen Zugriff auf Geräte erlangten. Auch UPnP (Universal Plug and Play)-Funktionen, etwa bei Routern und Kameras, sollten Unternehmen abstellen. So wurden im letzten Jahr aufgrund einer jahrelang unentdeckten UpnP-Lücke mehr als 100.000 Router kompromittiert und als Botnetz zusammengeschlossen. Grundsätzlich empfiehlt es sich, nicht benötigte Dienste und Funktionen an IoT-Geräten immer zu deaktivieren.

3. IoT-Geräte mit Filterrichtlinien ausstatten

Unternehmen sollten ihre Geräte darüber hinaus mit Filterrichtlinie ausstatten. Diese schränken ein, in welchem Umfang und mit welchen anderen Geräten oder Standorten die Devices kommunizieren können. Außerdem gilt es festzulegen, mit welchen Netzwerken sich die Geräte verbinden dürfen. Auch Zugriffskontrolllisten, sogenannte ACLs, können hilfreich sein, um festzulegen: Welcher Endnutzer kann wann Zugriff auf welches Device erhalten.

4. Einsatz von Zero-Trust-Modellen prüfen

Um die Sicherheit weiter zu erhöhen, kann ein Zero-Trust-Modell eingesetzt werden. Hierbei werden neben Geräten, auch alle Anwendungen, Dienste und Benutzer geprüft. Somit wird jeglicher Datenverkehr, ob extern oder intern, gleich behandelt – und als grundsätzlich nicht vertrauenswürdig eingestuft. Jedes Gerät, das mit dem Unternehmensnetzwerk verbunden ist, wird dabei isoliert, gesichert und kontrolliert. IoT-Geräte befinden sich zudem nur in dem Netzwerksegment, das für ihren Anwendungsfall bestimmt ist. Unternehmen sollten jedoch unbedingt bedenken, dass Zero-Trust-Modelle hochgradig aufwändig sind und daher entsprechende Ressourcen erfordern.

5. Honeypots nutzen und eigene Intelligence verbessern

Stehen dem Unternehmen eigene Security-Experten zur Verfügung, können sie mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Botnetz verhält, kann dabei helfen, das Targeting und die Methodik der Hacker zu verstehen. Je mehr Unternehmen über die Taktiken, Techniken und Verfahren (TTPs) ihrer Angreifer wissen, desto besser können sie Schwachstellen identifizieren und sich verteidigen.

6. Mehrstufigen DDoS-Schutz implementieren

Zwar gab es in den letzten 24 Monaten einen dramatischen Anstieg der volumetrischen Distributed- Denial-of-Service (DDoS)-Angriffe, die von IoT-Botnetzen ausgelöst wurden. Doch künftig erwartet NETSCOUT Arbor komplexere Angriffe. So umfasst heutige Botnetz-Malware bereits verschiedene Angriffstechniken, die gleichzeitig über mehrere Vektoren ausgeführt werden können. Bereits 59 Prozent der Service Provider und 48 Prozent der weltweit in einer Studie befragten Unternehmen verzeichneten 2017 sogenannte Multivektor-Angriffe. Dies sind gleichzeitige Attacken auf die IT-Infrastruktur an verschiedenen und potenziellen Schwachstellen. Dies erschwert Unternehmen die Abwehr, während die Erfolgschancen der Angreifer steigen.

Sicherheitsexperten sind sich daher einig, dass Unternehmen auf mehrstufige DDoS-Abwehrmaßnahmen setzen sollten. Mehrstufige Abwehrlösungen setzen sich aus einer vor Ort installierten Komponente und aus einer Cloud- beziehungsweise beim Internet Service Provider (ISP) vorhandenen Komponente zusammen. Die On-Premise-Komponente ermöglicht dabei die sofortige Erkennung und Bekämpfung von Angriffen, bevor es zu Auswirkungen auf Dienste kommt. Außerdem eignet sich diese besonders für die Abwehr von Attacken auf Anwendungsebene. Hochvolumige Angriffe werden hingegen in der Cloud direkt beim ISP mitigiert.

Auch Laien können Botnetz-Angriffe durchführen

Vor allem der öffentlich zugängliche Schadcode von Mirai, auf denen heute noch viele IoT-Botnetze basieren, bleibt gefährlich. So wurde die ursprüngliche Mirai-Codebasis kontinuierlich um neue Funktionen erweitert, sodass zahlreiche weitere Varianten wie etwa OMG, JENX, Satori und IoTrojan existieren. Akteure gehen außerdem dazu über, bestehende Botnetze an Dritte weiterzuvermieten. Diese sind dann in der Lage, einen Angriff gegen Bezahlung ausführen. Für 7.500 US-Dollar wurde beispielsweise der Zugriff auf das Mirai-Botnetz gewährt. Ein kurzzeitiger Angriff über ein vergleichsweise kleines Botnetz lässt sich heute schon für weniger als 5 US-Dollar im Darknet akquirieren. Unternehmen müssen sich also der Gefahrenlage bewusst sein und entsprechend vorbereiten. Da Botnetze vor allem für DDoS-Attacken genutzt werden, ist eine geeignete DDoS-Abwehrlösung unabdingbar. Diese Lösung sollte, laut übereinstimmender Meinung von Sicherheitsexperten, mehrstufige Abwehrfunktionen enthalten.

Bild: NETSCOUT Arbor

Guido Schaffner ist Channel Sales Engineer bei NETSCOUT Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen. Dort ist er verantwortlich für die DDoS-Abwehrlösungen von NETSCOUT Arbor sowie das Channel-Geschäft in der DACH-Region. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.

Weitere Informationen zum Thema:

datensicherheot.de, 24.10.2018
IoT-Botnetze nutzen weiterhin erfolgreich Standardpasswörter aus

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

Von unserem Gastautor Stu Sjouwerman, CEO bei KnowBe4

[datensicherheit.de, 28.01.2019] IoT-Geräte machen unser alltägliches Leben einfacher und komfortabler, zum Beispiel in der Medizintechnik, aber auch auf der Arbeit und zu Hause. Ohne angemessene Sicherheitsmechanismen kann ein IoT-Gerät jedoch leicht gehackt werden und Hacker erhalten möglicherweise Zugang zu mehr als nur dem Gerät selbst. Um sich das Ausmaß der Schäden bei Sicherheitsvorfällen mit IoT-Geräten vor Augen zu führen, eignet sich ein Blick auf den Fall von Daniel Kaye.

Befehl zum DDoS-Angriff von einem Mobiltelefon

Kaye verdient seinen Lebensunterhalt als Cyberkrimineller und wurde dadurch bekannt, dass er im Oktober 2015 einen massiven und verheerenden Angriff auf den größten Mobilfunk- und Internet-Anbieter in Liberia, Lonestar, durchgeführt hat. Der Angreifer hat von Zypern aus mit Hilfe seines Mobiltelefons den Befehl für einen DDOS-Angriff gegeben, der als Grundlage für den Angriff mehrere IoT-Geräte aus dem Botnetz Mirai nutzte. Mirai bestand aus einer großen Anzahl von Internet-Routern und Webcams, die von Firmen in China hergestellt werden. Diese gehackten Geräte werden typischerweise für Sicherheits- und Internetdienste in Privathaushalten und Unternehmen verwendet, so dass die Fremdnutzung der CPU-Leistung zumeist nicht weiter auffällt. Das Botnetz konnte das Netzwerk des liberianischen Telekommunikationsanbieters sofort lahmlegen, in der Folge konnten die Nutzer keine Mobilfunk-Services mehr nutzen. Zeitweise gab es sogar in ganz Liberia kein stabiles Mobilfunknetz.

Bild: KnowBe4

Stu Sjouweman, CEO von KnowBe4

Angriff auf die Deutsche Telekom

Im November 2016 führte Kaye dann einen ähnlichen Angriff auf die Deutsche Telekom durch. Obwohl der Angriff nicht ganz so erfolgreich war, waren bundesweit fast eine Million Telekom-Nutzer zeitweise ohne Internet. Nachdem er verhaftet worden war, sagte Kaye, dass er die Sicherheitslücke an den billigen Kameras und Routern ausgenutzt hatte, um seinen Angriff auf die Router ohne das Wissen der Eigentümer und der betroffenen Dienstleister durchzuführen.

In einem anderen Fall wurde die Überwachungskamera einer Familie, die zur Überwachung ihres Babys verwendet wurde, gehackt. Der Hacker erschreckte die Familie, indem er Ihnen sagte, dass er bereits im Kinderzimmer gewesen wäre und ihr Baby entführen wollte. In einem anderen Fall kompromittierte ein White Hat Hacker eine Überwachungskamera und sprach dabei mit dem Besitzer der Kamera. Natürlich warnte er ihn davor, wie unsicher das Gerät war.

In den Nachrichten wurde im letzten Jahr ein Sicherheitsvorfall publik, bei dem Casino-Daten durch ein smartes Gerät zur Regelung der Temperatur in einem Aquarium über eine Schwachstelle angriffen und kompromittiert wurde. Da viele kleinere IT-Abteilungen auf einfach zu implementierende und zu verwaltende Sicherheitskameras angewiesen sind, sind diese internetfähigen Geräte der perfekte Einstiegspunkt für externe Angreifer.

Verbraucher und Unternehmen sollten deshalb beim Anschluss dieser Geräte – sowohl zu Hause als auch im Büro – die folgenden Hinweise sorgfältig lesen und beachten:

• Einschränkung des externen Zugangs – In allen oben genannten Fällen waren die smarten Geräte frei über das Internet angreifbar, denn sie waren nicht abgesichert. Die intelligenten Geräte sollten mit dem Netzwerk verbunden werden und der Zugriff auf das Netzwerk über eine VPN-Verbindung abgesichert werden.
• Zwei-Faktor-Authentifizierung verwenden – Viele IoT-Geräte unterstützen eine Zwei-Faktor-Authentifizierung. Durch die Verwendung einer Mehrfaktor-Authentifizierung wird die Möglichkeit für erfolgreiche Hackerangriffe auf die Geräte limitiert. In allen beschriebenen Fällen hätte eine aktivierte Mehrfaktor-Authentifizierung die Angreifer daran gehindert, die Kontrolle über die Geräte zu erlangen.
• Unterschiedliche Passwörter verwenden – In einem der oben genannten Szenarien wurden die Informationen des Benutzers im Web kompromittiert, einschließlich des Passworts, das er auf mehreren Websites und seiner Kamera verwendet hat. Verbraucher sollten für jeden Standort, jedes Gerät, jede Anwendung usw. unterschiedliche Passwörter verwenden. Es gibt eine Vielzahl von webbasierten oder hardware-basierten Passwort-Speichern, die beim Schutz der Passwörter helfen.
• Die Wiederverwendung von Passwörtern ist keine Seltenheit – nach den Angaben des Herstellers Last Pass in der Studie „State of the Password 2018“ verwendet die Hälfte aller befragten Mitarbeiter Passwörter sowohl für Privat- als auch für Geschäftskonten. Diese Doppelverwendung stellt eine Gefahr für die Unternehmen dar. Benutzer müssen durch ein Security Awareness-Training auf folgende Maßnahmen geschult werden: die richtige Passwort-Etikette, die einfache Verwendung von Passwörtern, die Erstellung sicherer Passwörter und anderer damit zusammenhängender Maßnahmen.

Fazit

In der nahen Zukunft werden wir alle noch weitaus mehr IoT-Geräte am Arbeitsplatz und zu Hause nutzen und viele dieser Geräte werden Daten über uns erheben, von denen wir nicht einmal wussten, dass wir diese erzeugen. Deshalb ist bereits heute ein guter Zeitpunkt, um über die richtige Absicherung dieser Geräte nachzudenken, unabhängig davon, wo und wofür sie verwendet werden. Darüber hinaus sollten die Mitarbeiter ein Security Awareness-Training absolvieren, um über die Risiken von Phishing-E-Mails und schwachen Passwörtern aufgeklärt zu werden. Nur dann können in Zukunft Vorfälle ähnlich denen bei der Telekom oder Lonestar gänzlich verhindert werden. Oder zumindest abgemildert und den Hackern das Leben schwerer gemacht werden.

Weitere Informationen zum Thema:

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

[datensicherheit.de, 11.12.2018] Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von ASERT, ein Team aus Sicherheitsspezialisten des Unternehmens NETSCOUT Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen. Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big-Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

Schwachstelle in Hadoop Yarn

Die entdeckte Schwachstelle in Hadoop Yarn ermöglicht es den Angreifern, beliebige Shell-Befehle auszuführen und darüber Malware zu installieren. Dies sind Varianten der Mirai-Malware, die usrprünglich dafür entwickelt wurden, um Geräte im Internet of Things – wie zum Beispiel IP-Kameras und digitale Videorekorder – zu manipulieren. Da diese Art der Infizierung inzwischen in den Fokus der Öffentlichkeit gelangt ist und daher Schutzmaßnahmen besser werden, entwickelten die Cyberkriminellen nun die x86-Version.

Angreifer steuerndie die Verbreitung des Exploits selbst

Anstatt sich darauf zu verlassen, dass sich Bots selbstständig verbreiten, steuern die Angreifer die die Verbreitung des Exploits nun selbst. Eine relativ kleine Anzahl von Angreifern verwendet dazu eigens programmierte Tools, um die Hadoop-YARN-Schwachstelle zu erkennen und dann die Linux-Malware zu verbreiten. Die Vorteile einer solchen Anpassung liegen für die Angreifer auf der Hand: Verglichen mit IoT-Geräten haben Linux-Server in privaten Netzwerken deutlich mehr Bandbreite. Dies macht sie zu wesentlich effizienteren DDoS-Bots. Daher kann schon eine Handvoll gut ausgestatteter Linux-Server Angriffe erzeugen, die einem IoT-Botnetz mit deutlich mehr Geräten Konkurrenz macht.

Für die Angreifer ist es zudem deutlich einfacher, die x86-Monokultur von Linux-Servern anzugreifen als die breite Auswahl an CPU-Derivaten, die in IoT-Geräten verwendet werden. Das Ziel der, bisher noch eher kleinen, Hacker-Gruppe ist klar: die Malware auf möglichst vielen Geräten zu verbreiten. Und aufgrund der Leistungsfähigkeit der Server lauert hier ein enormes Gefahrenpotenzial.

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2018
Studie: Weit verbreiteter Mangel an Bewusstsein für IoT-Sicherheit

datensicherheit.de, 18.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 24.10.2018] Hacker nutzen weiterhin erfolgreich werkseitig voreingestellte Benutzernamen und Passwörter (Default-Einstellung) in IoT-Geräten aus, um Botnetze aufzubauen. Per Brute-Force-Methode wählen Cyberkriminelle nach dem Zufallsprinzip Ziel-Geräte aus. Anschließend versuchen sie diese automatisiert mit Kombinationen aus Default-Einstellungen zu infiltrieren. Für den Monat September konnte NETSCOUT Arbor eine Liste mit 1.065 Kombinationen aus 129 verschiedenen Ländern identifizieren. Vor allem Distributed-Denial-of-Service (DDoS) -Angriffe lassen sich über Botnetze schlagkräftig ausführen. Ziel der Hacker, die DDoS-Angriffe einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen.

Die Top 5 der Default-Kombination im Monat September sind:

• admin/admin
• guest/12345
• root/vizxv
• root/xc3511
• support/support
• root/default

Hinweis: Diese Passwort-Kombinationen sind auch mit dem ursprünglichen Mirai-Quellcode enthalten. Die zwei Kombinationen vizxv und xc3511, die auf die DVRs (digitale Videorekorder) abzielen, verhalfen dem ursprünglichen Mirai-Botnetz zum Erfolg.

Darüber hinaus hat NETSCOUT Arbor eine Liste der häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert, die nicht im ursprünglichen Mirai-Quellcode enthalten sind:

• default/default
• root/1001chin
• root/
• telnetadmin/telnetadmin
• root/ttnet
• root/taZz@23495859
• root/aquario
• e8telnet/e8telnet
• admin/
• telnet/telnet
• e8ehome/e8ehome
• root/cat1029
• root/5up
• root/ivdev
• admin/aquario
• root/zsun1188
• default/antslq
• root/founder88
• admin/ipcam_rt5350
• default/

Diese Liste enthält eine Mischung der Benutzernamen und Passwörter aus Basic, Default/Default und Root/ sowie spezifischen Kombinationen aus Root/1001chin und Root/taZz@23495859. Die spezifischeren Passwörter beziehen sich auf die werkseitigen Voreinstellungen für bestimmte Geräte. In den letzten zwei Jahren haben sich Angreifer darauf konzentriert, neue Geräte aufzunehmen.

Wenn ein automatisierter Bot, wie Mirai, einen Brute-Force-Angriff durchführt, besteht die Möglichkeit, dass das ausführende Gerät für genau denselben Angriff anfällig ist. Tatsächlich ist es möglich, dass das Gerät, das die Brute-Force-Attacke ausführt, bereits über den gleichen Angriff, vielleicht sogar die gleiche Kombination aus Benutzername und Passwort, zum Teil des Botnetzes wurde. Einige Geräte treten in bestimmten Ländern stärker in Erscheinung, entweder aufgrund der Verfügbarkeit oder der Popularität. Diese Liste zeigt die Popularität einiger Usernamen-/ Passwort-Kombinationen im lokalen Ranking (Land) gegenüber der globalen Verteilung dieser Kombination (overall Rank):

Die Kombination root/20080826, die hauptsächlich aus Russland stammt, scheint auf das Gerät TM02 TripMate – ein tragbarer WLAN Router – abzuzielen. Die Kombination vstarcam2015/20150602 zielt wahrscheinlich auf Webcams ab. Beide Geräte sind in den USA erhältlich, aber vor allem in Russland sehr beliebt. Da die Quellen gut verteilt sind, handelt es ich aller Wahrscheinlichkeit nach nicht um ein gezieltes Scannen, sondern um das Verhalten eines Bots. Die Kombination Telecomadmin/Admintelecom zielt auf Huawei-Geräte ab, die außerhalb westlicher Länder deutlich weiter verbreitet sind. Die Kombination aus Benutzernamen und Passwörtern aus dem Iran könnte auf einen älteren Bot hinweisen.

Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor, kommentiert: „IoT-Bots wählen ihr Ziel nach dem Zufallsprinzip und probieren solange Default-Kombinationen aus, bis die Liste erschöpft oder der Angriff erfolgreich ist. Security-Experten können mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Botnetz verhält, kann dabei helfen, das Targeting und die Methodik der Betreiber zu verstehen. Zusammenfassend zeigen unsere Untersuchungen, dass IoT-Geräte immer noch sehr leicht infiltriert werden können und daher anfällig für eine missbräuchliche Verwendung sind.“

Hintergrundinformationen:

Die IoT-Malware Mirai aus dem Jahr 2016 nutzte vor allem Standardbenutzernamen und Passwörter aus, um sich erfolgreich zu verbreiten. Darauf basierend wurden mehrere Mirai-Ableger entwickelten, die unter anderem Exploits einsetzten, um Schwachstellen auszunutzen. Später haben die Mirai-Macher eine eigene Liste mit Benutzernamen und Passwörtern zusammengestellt, die in den öffentlichen Mirai-Quellcode aufgenommen wurde. Dieser Code ermöglichte es jeder Person mit minimalen technischen Fähigkeiten, sein eigenes IoT-Botnetz aufzubauen. Einige Hacker erstellten daraufhin eigene benutzerdefinierte Listen mit Benutzernamen und Passwörtern, um Geräte zu infizieren, die bisher nicht infiltriert waren.

Weitere Informationen zum Thema:

Arbor Networks® ASERT
Karte mit Telnet-basierten Brute-Force-Angreifern

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 29.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein