Blog Home Topics: DDoS , IoT , PDoS

Im Chat mit IoT-Bots

Aug 01, 2017 | Radware
Im Chat mit IoT-Bots

Von: Pascal Geenens, Radware Ltd – @geenensp

Nach dem Mirai-Angriff auf Dyn im Oktober 2016 stand fest, dass ein Wendepunkt erreicht war: Die DDoS-Bedrohungslandschaft der kommenden Monate oder Jahre würde umgeformt werden. Das Internet der Dinge (Internet of Things, IoT) würde in dieser neuen Landschaft eine wichtige Rolle spielen. Der Angriff machte die unzureichende Sicherheit im Internet der Dinge deutlich. Auch zeigte sich der primitive Aufbau der Botnets, die Schachstellen bei IoT-Geräten wie IP-Kameras, Festplattenrecordern und Routern ausnutzen. Beide Aspekte rückten bei vielen Sicherheitsforschern und Journalisten ins Zentrum der Aufmerksamkeit. Das Internet der Dinge, nun Tummelplatz für viele neue Bots, verwandelte sich langsam in ein Schlachtfeld: Sogenannte Bad-Bots (die bösen), White-Hat-Bots (die guten) und Vigilante-Bots (die Bürgerwehr) kämpfen um die stetig anwachsende Menge der schlecht konzipierten, unsicheren Geräte.
 
Bis Dezember 2016 stieg die Zahl der Botnets. Ihre Größe ging in die Hunderttausende – fast wären eine Million Bots zur Realität geworden, hätte nicht im November 2016 der Übernahmeversuch bei der Telekom dazu geführt, dass rund 900.000 private Internetmodems aufgrund des TR-069-Exploits nicht mehr funktionierten. Das Internet der Dinge wurde bei DDoS-Angriffen zu einer wichtigen Waffe – es ist deshalb an der Zeit, das Bedrohungsrisiko zu messen und eine Überwachung auf neue und weiterentwickelte Exploits durch IoT-Botnets zu starten.
 
Angesichts der aggressiven Scans und Datensammelmethoden von Mirai und der Vielzahl an Botnets, über die in den letzten neun Monaten berichtet wurde, dauert es niemals lange, bis ein ungeschütztes und unsicheres Gerät ausgebeutet wird, sobald es einmal mit dem Internet verbunden ist. Wenn eine IP-Adresse nicht innerhalb des im ursprünglichen Mirai-Botnet hartcodierten auszuschließenden Bereichs liegt – wie die von US-Post und US-Verteidigungsministerium, der Internet Assigned Numbers Authority (IANA), Hewlett-Packard und General Electric –, werden unabhängig vom Standort über jede Internetverbindung regelmäßig Infektionsversuche durch Mirai und ähnliche Schadsoftware erfolgen. Anfang Januar implementierten wir einige Sensoren, um einen Eindruck vom wirklichen Ernst der Lage zu erhalten. Den Anfang bildete dabei ein sehr einfacher, individuell entwickelter Telnet-Server, der über Port 23 mit jeder beliebigen Kombination aus Benutzername und Kennwort angesprochen werden konnte. Für den Remote-Peer wurde das Abbild einer Shell- oder Befehlszeilenschnittstelle präsentiert. Beim Nachverfolgen der ersten Verbindungen konnten wir feststellen, dass es nicht einmal zehn Minuten dauerte, bis zwei Verbindungen von Bots versuchten, unseren Node zu kompromittieren. Mittlerweile beträgt die Zeitspanne zwischen zwei Angriffen nur noch drei bis fünf Minuten.
 
Ausgehend von dieser regen Aktivität stellten wir einen Chatterbot bereit (und bezeichneten ihn der Einfachheit halber als unseren IoT-Honigtopf). Dieser sollte mit den angreifenden Bots in Dialog treten – mit dem Ziel der Offenlegung des Malware-Binärprogramms. Einige Bots erwarteten bestimmte Reaktionen auf die ausgegebenen Befehle. Wenn diese Reaktionen ausblieben, verschwanden die Bots wieder. Kein Problem – an neuen Angriffen herrschte kein Mangel, und so konnten wir nach und nach iterativ einen konsistenten Dialog mit den meisten Bots aufbauen und aufrechterhalten, bis diese ihr wahres Gesicht zeigten und den Speicherort des Malware-Binärprogramms verrieten, typischerweise über einen WGET- oder FTP- bzw. TFTP-Befehl.
 
Wie zu erwarten war, ähnelten sich die meisten Dropper-Befehlssequenzen sehr; eine Ausnahme bildeten lediglich einige randomisierte Token und Binärdownload-Speicherorte. Durch Verknüpfung, Normalisierung und anschließendes Hashing der Bot-Befehlssequenz konnten wir einen Fingerabdruck nehmen, der ganze Familien ähnlicher Bots eindeutig identifizierte.

hajime-dropper-command-sequence.png

Abbildung: Hajime-Dropper-Befehlssequenz

 Sobald sich die Bots auf den Honigtopf eingelassen hatten, statteten wir ihn mit zusätzlichen Funktionen zum Herunterladen des Malware-Binärprogramms in den Honigtopf-Speicher aus. Dadurch konnten bestimmte Hashes auf den Inhalt angewendet werden, um einen Malware-Fingerabdruck zu generieren. Neue, für den Honigtopf unbekannte Fingerabdrücke wurden durch Übermittlung der Hashes MD5 und SHA256 an virustotal.com weiter analysiert. Neue oder unbekannte Malware gelangt so zu Virustotal, und wir haben einen guten Kandidaten für weitere Untersuchungen. Die Dateifingerabdrücke sind ein hervorragendes Hilfsmittel zum Identifizieren identischer Bots mit Malware-Binärprogrammen, die sich im Laufe der Zeit weiterentwickeln. Ein Beispiel dafür ist Hajime: Der Fingerabdruck der Befehlssequenz stimmt mit dem von Hajime überein, doch die Binärdateifingerabdrücke ändern sich. So haben wir die Möglichkeit, von demselben Bot stammende neue Versionen nachzuverfolgen.
 
Information über den Remote-Peer – mit Geo-IP-Daten, der ursprünglichen Befehlssequenz, dem zugehörigen Fingerabdruck sowie dem Fingerabdruck des Malware-Binärprogramms – werden für die Analyse in MongoDB gespeichert. Durch Abfragen der Daten in MongoDB können wir die Geschichte und Entwicklung vorhandener und neuer Bots nachverfolgen, die Angriffe auf unsere Honigtöpfe gestartet haben. Sukzessive sorgten wir für Unterstützung neuer Protokolle und Exploits, etwa zu TR-064/069-Server und NewNTPServer, HTTP-GoAhead -RCE sowie allgemein SSH-Exploits. Damit simulieren wir echte Geräte so genau wie möglich, um den Bots vorzugaukeln, dass sie ein echtes neues Opfer vor sich haben.

tr-064-newntpserver-rce-exploit.png
Abbildung: RCE-Exploit TR-064 NewNTPServer
 
Die jüngste Ergänzung unserer IoT-Honigtopf-Infrastruktur ist ein ELK-Stack (Elasticsearch, Logstash, Kibana), der Echtzeit-Dashboards und neue Erkenntnisse über IoT-Botnet-Aktivitäten in unseren Honigtöpfen liefert.


kibana-dashboard.png
Abbildung: Kibana-Dashboard für einen unserer Honigtöpfe
 
Durch die Verwendung eines Chatterbot-Musters für den Honigtopf haben wir ein sichereres und robusteres Erkennungstool, das viel Flexibilität für die Fingerabdruckname und Aktivitätsanalyse bietet. Der Honigtopf führt keinerlei Befehle des Bots tatsächlich aus – zu bekannten, vorprogrammierten Anfragen werden lediglich vorprogrammierte Antworten generiert. Aufgrund der zahlreichen – und häufigen – Infektionsversuche hat sich diese Vorgehensweise bei der Analyse und Datensammlung zu IoT-Bedrohungen sowie IoT-Botnets bewährt. Der Honigtopf ist nicht mit klassischeren Telnet-/SSH-Honigtöpfen vergleichbar, da er keine unvorhergesehenen bzw. nicht programmierten Befehle und Antworten ermöglicht. Andere Honigtöpfe bieten echte Shell-Funktionen und räumen dem angreifenden Peer mehr Kreativität ein, sodass das Verhalten neuer Angreifer ausgezeichnet untersucht werden kann. Beim IoT-Honigtopf steht eine solche Freiheit und Kreativität nicht zur Verfügung. Der Honigtopf kann neuartige Bots und Dropper-Angriffsversuche erkennen, allerdings müssen dazu neue Befehle, Protokolle und Exploits programmiert und simuliert werden. Für die Zwecke unserer Studie bietet der Honigtopf im Großen und Ganzen die richtigen Tools und Statistiken, mit denen wir die durch IoT-Botnets geschaffene Bedrohungslandschaft besser verstehen können.
 

Radware
© 2008-2017 Radware, Ltd. All rights reserved.