Besuchen Sie uns auf der it-sa 2024!

Home>

Mirai

Was ist Mirai?

Mirai ist eine Schadsoftware, die Linux-basierte IoT-Geräte infiziert und zu einem Botnet zusammenschließt. Solche Botnetze nutzen Cyberkriminelle als Angriffswerkzeuge – etwa für DDoS-Attacken, Spam, Phishing oder Klickbetrug.

Auf einen Blick

  1. 01. Mirai: eine Definition
    1. 02. Wer steckt hinter Mirai?
      1. 03. Wie funktioniert Mirai?
        1. 04. Was deutet auf eine Infektion mit Mirai hin?
          1. 05. Welche Gefahren gehen von Botnetzen wie Mirai aus?
            1. 06. Bekannte Angriffe mit Mirai
              1. 07. Was bietet Schutz vor Mirai?
                1. 08. Mirai: Das müssen Sie wissen
                  Beispiel eines Botnets

                  01

                  Mirai: eine Definition

                  Bei Mirai handelt es sich um eine Linux-Malware, die Sicherheitslücken in IoT-Geräten (Internet of Things) wie Routern, IP-Kameras, vernetzten Haushaltsgeräten oder Smart-TVs ausnutzt, um Schadcode aufzuspielen. Ziel des Wurms ist es, anfällige Geräte im Internet zu finden, sie zu kapern und in ein Botnetz einzubinden, das dann aus der Ferne gesteuert werden kann. Angreifer nutzen solche Botnetze für eine Vielzahl krimineller Aktivitäten – von Distributed-Denial-of-Service-Attacken (DDoS) über Spam- und Phishing-Kampagnen bis hin zu Datendiebstahl und Klickbetrug. Der Name der Schadsoftware soll sich übrigens von der japanischen Anime-Serie „Mirai Nikki“ ableiten. Der japanische Begriff „Mirai“ bedeutet „Zukunft“.

                  02

                  Wer steckt hinter Mirai?

                  Geschrieben wurde der Mirai-Wurm ursprünglich von den US-Amerikanern Paras Jha und Josiah White, den Gründern des DDoS-Mitigation-Dienstleisters Protraf Solutions. Ihr Geschäftsmodell bestand darin, Unternehmen mittels DDoS-Attacken, die sie über ihr Botnetz ausführten, direkt zu erpressen oder den von ihnen angegriffenen Firmen passende Abwehrdienste zu verkaufen. Oder bildlich gesprochen: Sie ließen sich dafür bezahlen, die Brände zu löschen, die sie selbst gelegt hatten. Außerdem setzten sie ihr Mirai-Botnetz für Klickbetrug ein und vermieteten es an andere Cyberkriminelle.

                  All dessen bekannten sich Jha und White zusammen mit einem weiteren Komplizen Ende 2017 schuldig. Knapp ein Jahr später wurden die drei Angeklagten jeweils zu fünf Jahren Bewährungsstrafe, 2.500 Stunden gemeinnütziger Arbeit und Schadenersatzzahlungen verurteilt. Noch bevor sie ins Visier der Strafverfolgungsbehörden geraten waren, hatten die Mirai-Autoren im Herbst 2016 unter dem Pseudonym „Anna-senpai“ den Quellcode ihrer Malware in einem Hackerforum veröffentlicht. Aus diesem Grund ist Mirai auch heute noch sehr aktiv. Basierend auf dem Quellcode entwickeln Malware-Autoren immer wieder neue Varianten oder Derivate der Mirai-Familie mit zusätzlichen Angriffsfunktionen.

                  03

                  Wie funktioniert Mirai?

                  Mirai durchsucht das Internet ständig nach öffentlich erreichbaren IoT-Geräten, die keinen Passwortschutz haben oder ab Werk voreingestellte Standardkombinationen aus Benutzernamen und Kennwort verwenden. Hat die Malware anfällige Geräte identifiziert, probiert sie verschiedene Standardzugangsdaten aus, um auf die Admin-Oberfläche zuzugreifen und die infizierten Geräte an einen „Command & Control“-Server (C&C-Server) zu melden. Die so gemeldeten Systeme werden dann Mitglieder eines Botnetzes (Bots) und können über den C&C-Server ferngesteuert werden, um selbständig diverse Angriffe auszuführen und weitere Geräte zu infizieren. Das Perfide: Mirai-Infektionen können auftreten, ohne dass Anwender:innen die Malware aktiv herunterladen oder ausführen.

                  04

                  Was deutet auf eine Infektion mit Mirai hin?

                  Der Befall mit der Schadsoftware erfolgt meist, ohne dass Nutzerinnen und Nutzer davon etwas mitbekommen. Eine Infektion mit Mirai zu erkennen, ist leider nicht einfach. In manchen Fällen können eine verringerte Geräte-Performance, eine verlangsamte Internetverbindung oder ein erhöhter Datenverbrauch Anzeichen dafür sein, dass ein Gerät als Bot im Hintergrund andere Aktivitäten ausführt. Jedoch muss keines dieser Symptome zwangsläufig auftreten. Daher ist es umso wichtiger, einer Infektion vorzubeugen und sich präventiv vor Angriffen durch Botnetze zu schützen.

                  05

                  Welche Gefahren gehen von Botnetzen wie Mirai aus?

                  Bösartige Akteure setzen Botnetze für viele verschiedene Angriffe ein. Ihre Motivation ist meist finanzieller Natur. Heutzutage lassen sich Botnet-basierte Attacken sogar für kleines Geld als Dienstleistung buchen. Dadurch können auch Kriminelle ohne technisches Know-how das enorme Schadpotenzial von Botnetzen für ihre Zwecke nutzen. Die Bandbreite der kriminellen Aktivitäten umfasst unter anderem:

                  DDoS-Angriffe

                  Mit eigenen oder angemieteten Botnetzen führen Cyberkriminelle häufig DDoS-Attacken auf Webseiten, Webapplikationen, APIs oder IT-Infrastrukturen aus, um das anvisierte Ziel mit einer Masse automatisierter Anfragen zu überlasten und dadurch lahmzulegen. Je mehr Bots zusammengeschaltet werden, desto schlagkräftiger fällt die Attacke aus. Oft kombinieren die Angreifer DDoS mit Erpressung: Sie drohen mit weiteren Überlastungsattacken, falls die angegriffenen Unternehmen kein Schutzgeld zahlen. Für diese kriminellen Zwecke setzten auch die ursprünglichen Mirai-Autoren ihr Botnetz ein.

                  Spam & Phishing

                  Der massenhafte Versand von Spam- oder Phishing-Mails zählt zu den gängigsten Einsatzzwecken von Botnetzen. Kriminelle versuchen auf diese Weise unter anderem, Schadsoftware zu verbreiten oder unbedarfte Nutzer:innen dazu zu bringen, Zugangsdaten und andere sensible Informationen preiszugeben.

                  Credential Stuffing

                  Mithilfe einer Vielzahl von Bots testen Angreifer in kürzester Zeit massenhaft Nutzer/Passwort-Kombinationen durch automatisierte Anfragen an Webshops, Online-Banken oder sogar Firmenkonten. Treffer zu aktiven Accounts verkaufen sie im Nachgang im Darknet oder nutzen die Informationen für weiterführende Attacken.

                  Proxy

                  In einem Botnetz eingebundene Geräte lassen sich als Proxys verwenden, um die eigene IP-Adresse zu verbergen und so anonym mit fremden IPs im Internet zu surfen. Dazu wird der Datenverkehr einfach durch das Botnetz geleitet.

                  Cryptominer

                  Manche Botnetz-Betreiber missbrauchen die geballte Rechenleistung der von ihnen gekaperten Geräte, um heimlich Kryptowährungen zu schürfen und damit direkte Einnahmen zu generieren.

                  Klickbetrug

                  Schon die ursprünglichen Mirai-Autoren verwendeten und vermieteten ihr Botnetz für Klickbetrug. Bei dieser Form des Online-Betrugs werden Bots dazu eingesetzt, bestimmte Anzeigen oder Affiliate-Links auf Webseiten anzuklicken, um die Pay-per-Click-Daten des Werbeabrechnungssystems gezielt zu manipulieren und somit auf Kosten des Werbetreibenden Einnahmen zu generieren.

                  06

                  Bekannte Angriffe mit Mirai

                  2016 umfasste das ursprüngliche Mirai-Botnet etwa 500.000 kompromittierte IoT-Geräte rund um den Globus. Später bestand das Botnetz sogar aus mehreren Millionen Geräten. Mit dieser Masse an Bots führten Cyberkriminelle gerade in der Anfangszeit von Mirai zahlreiche Angriffe durch:

                  Minecraft-Server/OVH

                  Die ersten bekannten Angriffe mittels Mirai zielten auf Server des beliebten Online-Spiels Minecraft. Leidtragender war unter anderem der französische Hosting Provider OVH, der im September 2016 zum Ziel einer der bis dahin größten DDoS-Attacken wurde. 2017 und 2018 folgten mit Hilfe von Mirai weitere Angriffe auf Minecraft-Server, etwa auf das Minecraft-Netzwerk Hypixel.

                  KrebsOnSecurity

                  Ebenfalls im September 2016 sorgte ein mit Mirai durchgeführter DDoS-Angriff dafür, dass der Blog des Investigativjournalisten und IT-Security-Experten Brian Krebs mehrere Tage nicht mehr erreichbar war. Davon motiviert machte sich Krebs daran, die Identität der Mirai-Autoren offenzulegen, was ihm nach monatelangen Recherchen auch gelang.

                  Dyn

                  Im Oktober 2016 traf ein massiver DDoS-Angriff den DNS-Serviceanbieter Dyn und zwang dessen Server in die Knie. In der Folge waren Kunden des US-Dienstleisters über Stunden hinweg nicht oder nur eingeschränkt erreichbar, darunter auch große Namen wie Twitter, Reddit, GitHub, CNN, The Guardian, Amazon, Netflix und Spotify. Der Angriff wurde unter anderem über das Mirai-Botnetz durchgeführt. Die Hackerkollektive SpainSquad, Anonymous sowie New World Hackers bekannten sich im Nachgang öffentlich dazu, verantwortlich gewesen zu sein.

                  Router/Deutsche Telekom

                  Ein weltweiter Angriff des Mirai-Botnetzes auf ausgewählte Fernwartungsschnittstellen von DSL-Routern legte im November 2016 mehr als 900.000 Speedport-Router der Deutschen Telekom lahm. Zwar wurden die Geräte nicht kompromittiert, fielen durch einen internen Fehler aber dennoch aus. In der Folge konnten betroffene Telekom-Kunden weder telefonieren noch online gehen.

                  07

                  Was bietet Schutz vor Mirai?

                  Mirai existiert vollständig im flüchtigen Speicher der infizierten Systeme. Daher reicht ein Neustart des betroffenen Geräts aus, um die Malware zu entfernen. Allerdings besteht die Gefahr, dass das System immer wieder infiziert wird, solange es mit dem Internet verbunden und nur durch ein Standardpasswort geschützt ist. Deshalb sollten mit dem Internet verbundene Geräte immer mit einem individuellen starken Kennwort abgesichert sein.

                  Darüber hinaus empfiehlt es sich generell, Firmware- und Sicherheitsupdates für Systeme und Geräte zeitnah einzuspielen. Sind keine entsprechenden Updates (mehr) verfügbar, sollte man außerdem prüfen, ob sich IoT-Geräte wie IP-Kameras oder Smart-TVs nicht auch ohne Internetanbindung im lokalen Netzwerk betreiben lassen.

                  Für Unternehmen stellen insbesondere mittels Botnet durchgeführte DDoS-Angriffe eine Bedrohung dar. Um finanzielle und Reputationsschäden durch Störungen oder Ausfälle zu vermeiden, sollten Firmen ihre Webressourcen und IT-Infrastruktur präventiv mit einem dedizierten DDoS-Schutz absichern, der sich als Managed Service beziehen lässt. Schutz vor anderen typischen Botnetz-Angriffen bietet eine Kombination aus Web Application Firewall (WAF) und Bot Management.

                  Cybersecurity Solutions von Myra

                  Icon DDoS Schutz

                  DDoS Protection

                  Mit der Myra DDoS Protection erhalten Sie einen vollautomatischen Schutz vor schädlichen Requests und Überlastungsangriffen. Auch im akuten Angriffsfall sind Ihre Webapplikationen somit durchgehend erreichbar.

                  Mehr erfahren

                  Hyperscale WAF

                  Die Myra Hyperscale WAF schützt Ihre Webapplikationen vor schädlichen Zugriffen und Schwachstellen-Exploits. Durch eine einfache Integration und Konfigurierung ist sie im Handumdrehen eingerichtet.

                  Mehr erfahren

                  CDN 

                  Erstklassige Nutzererfahrung durch schnellen Seitenaufbau und minimale Latenz: Mit dem Myra High Performance CDN werden alle statischen und dynamischen Inhalte Ihrer Website hochperformant ausgeliefert.

                  Mehr erfahren
                  Icon Secure DNS

                  Secure DNS 

                  Myra Secure DNS bietet Ihnen eine zuverlässige und leistungsstarke Lösung zur Absicherung Ihrer kritischen Webapplikationen. Verwalten Sie Ihre Namensauflösung problemlos und schützen Sie sich vor DNS-Hijacking.

                  Mehr erfahren

                  Deep Bot Management

                  Verabschieden Sie sich für immer von schädlichen Bots. Das Myra Deep Bot Management erstellt für jeden Bot eindeutige Fingerprints und ermöglicht somit eine optimale Reaktion auf jede Anfrage.

                  Mehr erfahren
                  Icon Certificate Management

                  Certificate Management 

                  Nie wieder Probleme durch abgelaufene SSL/TLS-Zertifikate. Erhöhen Sie die Sicherheit Ihrer digitalen Assets mit dem Myra Certificate Management und verschlüsseln Sie alle Ihre Domains automatisch.

                  Mehr erfahren

                  08

                  Mirai: Das müssen Sie wissen

                  Mirai gilt seit 2016 als eines der aktivsten Botnetze. Der gleichnamige Computerwurm zielt auf eine breite Palette öffentlich zugänglicher IoT-Geräte ab, um sie als ferngesteuerte Bots für illegale Aktivitäten zu nutzen – von Spam und Phishing über Credential Stuffing bis hin zu DDoS-Angriffen. Unsichere Konfigurationen und Standardpasswörter machen es Kriminellen häufig leicht, IoT-Geräte zu übernehmen und in Botnetze einzubinden. Anfang 2022 nutzten neue Mirai-Derivate auch gezielt die Schwachstelle Log4Shell in der Java-Bibliothek Log4J aus, um anfällige IoT-Geräte als DDoS-Angriffswerkzeuge oder Cryptominer zu missbrauchen. Botnetz-basierte Attacken haben ein enormes Schadpotenzial. Daher sollten sich Unternehmen präventiv dagegen absichern, etwa mit einem dedizierten DDoS-Schutz.

                  © Myra Security GmbH 2024, alle Rechte vorbehalten

                  Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB