2326324

Iotroop-Bot: Das hat es mit dem Schädling auf sich

31.01.2018 | 14:12 Uhr |

Aktuell sorgt der Iotroop-Bot für Schlagzeilen, der Router, IP-Kameras und mehr befällt. Hier die wichtigsten Fakten.

An die Bedrohungen durch Viren, Würmer und Trojaner dürften sich die meisten Anwender inzwischen gewöhnt haben. Und für Linux-Anwender ist die Gefahr verglichen mit einer Windows-Installation auch nach wie vor gering. Doch wenn es darum geht, eine möglichst große Verbreitung eines Schädlings zu erreichen, gibt es für Cyberkriminelle inzwischen lohnenswertere Ziele, die in fast jedem Haushalt stehen.

Iotroop und Smart Home

Die Namen des Schädlings IoT_Reaper oder auch Iotroop leitet sich von seinem bevorzugten Ziel ab. Er befällt in erster Linie Geräte, die zur Kategorie des Internets of Things zählen. Keine PCs und Notebooks also, sondern Überwachungskameras, Videorecorder, NAS-Systeme, zum Teil auch Router. Je mehr sich Geräte für das Smart Home verbreiten, desto mehr geraten diese ins Visier von neuartigen Angriffsversuchen. Bei Botschädlingen ist die große Verbreitung der erste, geduldig vorbereitete Schritt. Jedes einzelne infizierte System wird durch den Schädling Teil einer großen Netzwerk-Armada, die auf das ferngesteuerte Kommando seines Schöpfers hin in Schritt zwei die eigentliche Attacke ausführt. Das kann beispielsweise das gezielte Lahmlegen von bekannten kommerziellen Servern sein. Erstmals nachgewiesen wurde Iotroop im vierten Quartal 2017.

Siehe auch: So gefährlich wird das Internet der Dinge

So funktioniert der Angriff

Der Aufbau professioneller Botnetze basiert auf verschiedenen gut getarnten Servern, die unterschiedliche Aufgaben übernehmen. Über einen Loader werden so genannte Exploits verteilt. Das sind Scripts, die bekannte Sicherheitslücken in den Systemen ausnutzen und sich dadurch einschleusen. Derzeit ist davon auszugehen, dass Iotroop mehr als ein Dutzend unterschiedlicher Lücken in unterschiedlichen Geräten ausnutzt. Diese Ausbeutung erfolgt allerdings auf der Ebene der Firmware, nicht etwa in der für den Anwender erreichbaren Steuerungssoftware. Ist ein Gerät, zum Beispiel ein Router, erst einmal infiziert, sucht er automatisch im Hintergrund durch Anfragen in das Netz nach weiteren Geräten, die ebenfalls eine der vom Entwickler ausgenutzten Lücken enthalten. Ist die Suche erfolgreich, werden die Zugangsdaten (Hardwareadresse, IP-Adresse, Firmwarekennung) wieder an den Loader übergeben. Der schickt dann nicht nur das Script zur weiteren Ausforschung des Netzwerks, sondern stößt die Auslieferung der eigentlichen „Nutzlast“ über einen anderen Server an. Diese Nutzlast enthält dann die für den späteren Angriff notwendigen Kommandos.

Die Fritzbox von AVM ist nicht betroffen. Sonst aber lesen sich die bisher nachgewiesenen befallenen Gerätearten mit Herstellern wie Belkin, D-Link, Netgear oder TP-Link wie das Who is Who der Branche, allerdings sind auch hier immer nur spezielle Modelle betroffen. Auch wer einen Router dieser Hersteller einsetzt, ist daher nicht automatisch Opfer eines Befalls. Es besteht somit also auch kein Anlass zur Panik. Das gilt auch für Nutzer von IP-Kameras oder NAS-Servern, die gleichfalls befallen sein könnten.

Was tun im Falle eines Verdachts?

Mit Wireshark lassen sich verdächtige Übertragungen aufspüren.
Vergrößern Mit Wireshark lassen sich verdächtige Übertragungen aufspüren.

Iotroop wird persistent gespeichert: Ein einfacher Neustart eines Geräts hilft nicht, den Schädling loszuwerden. Da Schwachstellen in der Firmware ausgenutzt werden, kann die Lücke auch nur durch das Einspielen neuer Firmware beseitigt werden.

Firmware ersetzen: Die erste Anlaufstelle ist somit also die Seite des Herstellers, um nachzuschauen, ob es eine aktuellere Firmware für den Router gibt. Da derzeit noch unklar ist, wie der Bot auf das Update eines infizierten Systems reagiert, könnte eine dauerhafte Lösung so aussehen: Laden Sie sich von der Herstellerseite die aktuelle Firmware lokal herunter. Trennen Sie das verdächtige Gerät vom Internet. Sichern Sie, sofern der Router eine solche Option bietet, Ihre Einstellungen.

Dann setzen Sie mit Hilfe des Benutzerhandbuchs das Gerät auf seine Auslieferungseinstellungen zurück. In dem meisten Fällen wird dabei dann auch wieder die ursprüngliche Firmware aufgespielt. Aktualisieren Sie die Firmware unmittelbar danach mit der neuesten Version, die Sie sich beschafft hatten. Spielen Sie Ihre gesicherten Einstellungen wieder ein und verbinden Sie erst danach das Gerät wieder mit dem Internet.

Social Bots, Fake News: Manipulation in sozialen Netzwerken erkennen

Um in der Datenflut verdächtige Pakete zu erkennen, sind solide Vorkenntnisse notwendig.
Vergrößern Um in der Datenflut verdächtige Pakete zu erkennen, sind solide Vorkenntnisse notwendig.

Technische Analyse: Da der Bot unterschiedliche Lücken auf der untersten Ebene der Steuerungssoftware ausnützt, sind Erkennung und Bekämpfung aus Anwenderperspektive schwierig. Es gibt nicht den einen unbekannten Prozess, der plötzlich viel Ressourcen belegt und über die Prozessliste oder den Anwendungsmanager des eingesetzten Geräts identifiziert werden könnte. Auch ein Heilmittel im Sinne einer Antivirensoftware ist derzeit nicht bekannt. Sie können nur Instrumente der Computerforensik nutzen, um einem Verdacht nachzugehen.

Liegt eine Infektion des Routers vor, wird dieser versuchen, im Internet andere Systeme zu finden, die infiziert werden könnten, und übermittelt deren Daten dann an den Server des Angreifers. Das erfordert den Austausch von Datenpaketen. Diese sind zwar so klein, dass sie den Traffic des Anwenders nicht beeinflussen, aber sie können natürlich erkannt werden. Wenn Sie das selbst prüfen wollen, sind zwei Aufgaben zu lösen. Wollen Sie einen Router überprüfen, müssen Sie nachsehen, ob es eine Möglichkeit gibt, den gesamten Netzwerkverkehr mitzuschneiden (Capture-Funktion). Bietet das Gerät eine solche Funktion von Haus aus nicht, aber das Ausführen und Installieren von Programmen erlaubt, wird hier zunächst tcpdump installiert. Es speichert den Verkehr in Form von „pcap“-Dateien.

Funktioniert das Mitschneiden weder mit Bordmitteln noch über eine installierte Software, wird es kompliziert. Dann müssen Sie den Router so konfigurieren, dass der gesamte Datenverkehr an den Port weitergeleitet wird, an dem ein Rechner angeschlossen wird, auf dem Sie dann tcpdump nutzen. Für die Analyse der erfassten Daten kann Wireshark genutzt werden, das in den Paketquellen aller Distributionen enthalten ist. Hier kann man dann überprüfen, ob verdächtige Adressen aufgerufen worden sind. Die Analyse mit Wireshark ist allerdings keineswegs trivial.

Was muss wirklich ins Internet?

Iotroop ist eine Warnung in Richtung überzogener Smart-Home-Utopien. Nehmen Sie die aktuelle Situation zum Anlass, um zu überprüfen, ob alles, was über das Internet erreichbar ist, tatsächlich erreichbar sein muss. Klar – der Router muss. Hingegen Heizung oder Lampen unterwegs einschalten zu können, mag zwar bequem sein, stellt aber natürlich ein zusätzliches Risiko dar.

Die meisten Geräte und Serverdienste machen das Leben auch dann noch leichter, wenn sie auf die Schaltung oder Nutzung im lokalen Netz beschränkt werden.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2326324