Mirai-IoT-Botnet: IP-Kamera nach 98 Sekunden mit Malware infiziert

Droht die Netzwerkapokalypse, sobald ein unsicheres IoT-Gerät im Heimnetzwerk angeschlossen wurde? Der Sicherheitsforscher Rob Graham hat es ausprobiert - und sich innerhalb von 98 Sekunden die erste Infektion abgeholt.

Artikel veröffentlicht am ,
Wer sich ein IoT-Gerät kauft, kann sehr schnell mit Malware infiziert werden.
Wer sich ein IoT-Gerät kauft, kann sehr schnell mit Malware infiziert werden. (Bild: Jack Guez/Getty Images)

Der Sicherheitsforscher Rob Graham wollte selbst ausprobieren, wie es um die Sicherheit eines IoT-Gerätes bestellt ist. Dazu kaufte er sich eine IP-Kamera für rund 55 US-Dollar, schloss sie an sein Heimnetzwerk an und twitterte über das Ergebnis. Bis zu ersten Infektion dauerte es seine Angaben zufolge nur 98 Sekunden.

Das Mirai-Botnetz war in den vergangenen Monaten an zahlreichen Angriffen gegen verschiedene Webdienste beteiligt, unter anderem gegen das Blog des Journalisten und Sicherheitsforschers Brian Krebs und den DNS-Dienst Dyn, der Dienste wie Twitter, Spotify und Amazon über mehrere Stunden lahmlegte. Eigentliches Ziel des Angriffes soll jedoch das Playstation Network gewesen sein.

Graham nutzte nach eigenen Angaben einen Raspberry Pi und schottete das mutmaßlich verwundbare IoT-Gerät per NAT von seinem eigenen Netzwerk ab. Bereits nach sehr kurzer Zeit war das Gerät von einem IoT-Wurm befallen, bei dem es sich aber zunächst nicht um Mirai gehandelt haben soll.

Dieser versucht zuerst, Informationen über das Gerät zu sammeln, etwa die verwendete CPU. Danach versucht das Virus, die Malware herunterzuladen, bevorzugt über Wget oder über das Trivial File Transfer Protocol (Tftp), wenn dies nicht gelingt über das Kommando "echo -ne".

Mirai installiert sich in zwei Stufen

Später wird das Gerät auch mit der Mirai-Malware infiziert, die sich in zwei Stufen installiert. Bereits kurz darauf beginnt das Gerät, in hoher Frequenz Syn-Pakete zu versenden. Außerdem wurden 150 Telnet-Pakete verschickt, um nach weiteren verwundbaren Geräten zu suchen, was Graham jedoch durch eine Firewall-Regel verhinderte.

Die meisten der durch Mirai verwundbaren Geräte haben keinen persistenten Speicher, so dass das Gerät durch Trennen der Stromversorgung von der Malware befreit werden kann. Wer also glaubt, ein infiziertes Gerät zu Hause zu haben, kann seine Firewall neu konfigurieren und etwa ausgehenden Telnet-Traffic auf Port 23 blocken und das Gerät dann neu verbinden. Es ist auf jeden Fall sinnvoll, die voreinstellten Passwörter für die Benutzeroberfläche zu ändern, das hilft jedoch nicht in jedem Fall: Bei Grahams Testgerät ließ sich das voreingestellte Telnet-Passwort jedenfalls nicht vom Nutzer verändern und konnte so für Infektionen genutzt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Akamai
Github übersteht bislang stärksten DDoS-Angriff
artikel-bild
Brickerbot
Hacker zerstören das Internet of Insecure Things
artikel-bild
Bastelrechner Eagleye 530s
Zigbee und Flash-Speicher im Raspberry-Pi-Format
Meistgelesen
artikel-bild
Opendesk vom Zendis ausprobiert
Ein Web-Desktop für die Verwaltung
artikel-bild
Quartalszahlen
So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum
artikel-bild
Stiftung Warentest
Viele Balkonkraftwerke haben Mängel
Kommentarübersicht
Re: Ich habe zwei Fragen
Porterex 23. Nov 2016

Auch wenn es hier um Kameras geht, haben SmartTVs nicht das gleiche Problem? Updates...

Re: Wie kann man das zuhause selber testen
Smincke 23. Nov 2016

Du kaufst dir eine China Kamera, wo Linux drauf läuft und ein Standard Passwort hat. Wenn...

Re: Bezahlbare "sichere" IP Kamera
Braineh 23. Nov 2016

Blöde Frage - ich hab einfach ein- und ausgehenden Verkehr ins und vom Internet zu den...

Warum sind wir soweit, dass Viren so schnell die...
maci23 23. Nov 2016

Wenn ich ehrlich bin, warum Viren die Geräte so schnell infizieren können, auch wenn sie...

Aktuell auf der Startseite von Golem.de
Sport und Gesundheit
Massive Anwenderkritik am neuen Garmin Connect

Unübersichtlich, zu viele Klicks: Die neue Version von Garmin Connect kommt bei Nutzern auffällig schlecht an.

Sport und Gesundheit: Massive Anwenderkritik am neuen Garmin Connect
Artikel
  1. Apple: Tim Cook muss kein Vision-Pro sein
    Apple
    Tim Cook muss kein Vision-Pro sein

    Apple wird oft vorgeworfen, unter Tim Cook langweilig geworden zu sein. Aber braucht Apple wirklich Produkte wie das Vision Pro?
    Ein IMHO von Tobias Költzsch und Daniel Ziegener

  2. Balkonkraftwerke: VDE legt in Kürze neuen Vorschlag für Produktnorm vor
    Balkonkraftwerke
    VDE legt in Kürze neuen Vorschlag für Produktnorm vor

    Noch immer ist offen, welche technischen Anforderungen für Balkonkraftwerke künftig gelten sollen. Ein neuer Entwurf dazu kommt in wenigen Tagen.

  3. Point-to-Multipoint: Swisscom muss wegen Netztopologie Millionenstrafe zahlen
    Point-to-Multipoint
    Swisscom muss wegen Netztopologie Millionenstrafe zahlen

    Der kleine Internetanbieter Init7 hat einen Sieg gegen Swisscom errungen. Durch den Streit sind seit Jahren 500.000 fertige FTTH-Zugänge blockiert. Doch Init7 will symmetrische 25 GBit/s.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte GeForce RTX 4070 Ti zum Tiefstpreis • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Anker USB-Ladegeräte -45% • OLED-TV von LG 54% günstiger • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /