{"id":219780,"date":"2019-06-26T12:24:55","date_gmt":"2019-06-26T10:24:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219780"},"modified":"2022-12-29T17:44:44","modified_gmt":"2022-12-29T16:44:44","slug":"silex-malware-befllt-2-000-iot-gerte-binnen-stunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/26\/silex-malware-befllt-2-000-iot-gerte-binnen-stunden\/","title":{"rendered":"Silex-Malware bef&auml;llt 2.000 IoT-Ger&auml;te binnen Stunden"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Der Akamai-Forscher Larry Cashdollar hat eine neue Variante der Silex-Malware entdeckt. Diese bef\u00e4llt aktuell Tausende von IoT-Ger\u00e4ten blockiert diese bzw. macht sie unbrauchbar. Binnen weniger Stunden wurden \u00fcber 2.000 Ger\u00e4te befallen. Urheber scheint ein Teenager zu sein, der plant, das Projekt auszuweiten. Aktuell kann die Malware auch Linux-Server bricken. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/3f81e42d0e5c42df9a9bdebd201860d4\" width=\"1\" height=\"1\"\/>Der Akamai-Forscher Larry Cashdollar hat die Information k\u00fcrzlich auf Twitter \u00f6ffentlich gemacht.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">It's trashing the storage, dropping the iptables rules, removing the network configuration and then halting the device. <a href=\"https:\/\/t.co\/Ue661ku0fy\">pic.twitter.com\/Ue661ku0fy<\/a><\/p>\n<p>\u2014 Larry W. Cashdollar (@_larry0) <a href=\"https:\/\/twitter.com\/_larry0\/status\/1143532888538984448?ref_src=twsrc%5Etfw\">25. Juni 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die einzige M\u00f6glichkeit, infizierte Ger\u00e4te wiederherzustellen, besteht darin, die Firmware des Ger\u00e4ts manuell neu zu installieren. Silex ist nicht die erste IoT-Malware mit diesem Verhalten, denn die Schadsoftware BrickerBot hat bereits 2017 <a href=\"https:\/\/www.golem.de\/news\/internet-of-things-bricker-bot-soll-2-millionen-iot-geraete-zerstoert-haben-1704-127483.html\" target=\"_blank\" rel=\"noopener noreferrer\">Millionen von Ger\u00e4ten<\/a> in Elektroschrott verwandelt, wie securityaffairs.co <a href=\"https:\/\/web.archive.org\/web\/20221029204815\/http:\/\/securityaffairs.co\/wordpress\/87609\/iot\/silex-malware-bricks-iot-devices.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> schreibt.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" alt=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\"\/><br \/>(Quelle: Pexels <a href=\"https:\/\/www.pexels.com\/de\/u\/markusspiske\/\">Markus Spiske<\/a> CC0 Lizenz) <\/p>\n<h2>So geht die Malware vor<\/h2>\n<\/p>\n<p>ZDNet hat in <a href=\"https:\/\/www.zdnet.com\/article\/new-silex-malware-is-bricking-iot-devices-has-scary-plans\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> die Geschichte aufgegriffen. Der Sicherheitsforscher Cashdollar teilte ZDNet in einer Mail folgendes mit: \"Es verwendet bekannte Standard-Anmeldeinformationen f\u00fcr IoT-Ger\u00e4te, um sich anzumelden und das System funktionsunt\u00fcchtig zu machen. Ich sehe in der Bin\u00e4rdatei, dass es fdisk -l aufruft, das alle Festplattenpartitionen auflistet. Dann schreibt die Ransomware zuf\u00e4llige Daten von \/dev\/random auf jeden gemounteten Speicher, den sie findet. Die Ransomware l\u00f6scht dann Netzwerkkonfigurationen, [&#8230;.] auch rm -rf \/, was alles l\u00f6scht, was bisher noch \u00fcbersehen wurde. Es flusht auch alle iptables Eintr\u00e4ge und f\u00fcgt einen hinzu, der alle Verbindungen l\u00f6scht. Dann stoppt die Ransomware das IoT-Ger\u00e4te oder startet es neu.\"<\/p>\n<h2>Angriff auch auf Linux-Server, geht \u00fcber iranische Server<\/h2>\n<p>\"Es zielt auf jedes Unix-\u00e4hnliche System mit standardm\u00e4\u00dfigen Anmeldeinformationen ab\", sagte Cashdollar gegen\u00fcber ZDNet. Er konnte eine Bin\u00e4rdatei sicherstellen, die auf ARM-Ger\u00e4te abzielt. <\/p>\n<p>Cashdollar ist aber auch ein Bash-Shell-Version zum Herunterladen aufgefallen. Diese kann f\u00fcr jede Architektur mit einem Unix-\u00e4hnlichen Betriebssystem verwendet werden. Das bedeutet auch, dass Silex Linux-Server zerst\u00f6rt, wenn sie Telnet-Ports ge\u00f6ffnet haben und wenn sie mit schlechten oder weit verbreiteten Anmeldeinformationen gesichert sind.<\/p>\n<p>ZDNet fragt dann, ob die Urheber des Angriffs bekannt seien. Der Sicherheitsforscher schreibt dazu: \"Es scheint, dass die IP-Adresse, die auf meinen Honeypot zielte, auf einem VPS-Server von <em>novinvps.com <\/em>gehostet wird, der aus dem Iran heraus betrieben wird.\" Die IP-Adresse ist inzwischen bereits in der URLhaus-Blacklist eingetragen, nachdem sie vom IoT-Malware-Forscher Rohit Bansal gemeldet wurde.<\/p>\n<h2>Steckt ein Teen dahinter?<\/h2>\n<p>Mit Hilfe des NewSky Security-Forschers <a href=\"https:\/\/twitter.com\/ankit_anubhav\" target=\"_blank\" rel=\"noopener noreferrer\">Ankit Anubhav<\/a> kontaktierte ZDNet den Malware-Autor von Silex und stellte eine Reihe von Fragen zu seinen Motiven und seinem gro\u00dfen Masterplan. Laut Anubhav ist f\u00fcr diese destruktive Malware ein 14-j\u00e4hriger Teenager verantwortlich, der unter dem Pseudonym Light Leafon online geht.<\/p>\n<p>Der Hacker mit dem Namen Light Leafon hatte das HITO IoT Botnet erstellt und war vor einem Monat von Anubhavs im Podcast \u00fcber IoT Botnets und Sicherheit interviewt worden. Anubhav best\u00e4tigte die Identit\u00e4t des Hackers, indem er eine benutzerdefinierte Nachricht auf dem Silex Command and Control (C&amp;C)-Server ablegte. \u00dcber die Antwort auf diese Nachricht best\u00e4tigte der Hacker, dass er auf die Silex C&amp;C-Server Zugriff hatte. <\/p>\n<p>Light hat das Projekt, laut eigener Aussage, als Scherz gestartet. Inzwischen habe sich das Ganze aber zu einem Vollzeitprojekt entwickelt. Daher hat er das alte HITO-Botnet f\u00fcr Silex aufgegeben. Der Teenager sagte gegen\u00fcber Anubhav, er plane, die Malware weiter zu entwickeln und noch mehr zerst\u00f6rerische Funktionen hinzuzuf\u00fcgen.<\/p>\n<p>\"Es wird \u00fcberarbeitet, um die urspr\u00fcngliche BrickerBot-Funktionalit\u00e4t zu erhalten\", sagte Light zu Anubhav und ZDNet. Geplant sei unter anderem, neben der aktuellen Telnet-Hijacking-Funktion auch die M\u00f6glichkeit der Anmeldung an Ger\u00e4ten \u00fcber SSH hinzuzuf\u00fcgen. Dar\u00fcber hinaus plant Light auch die Integration von Exploits in Silex, um der Malware die M\u00f6glichkeit zu geben, Schwachstellen zu nutzen, um in Ger\u00e4te einzudringen, \u00e4hnlich wie die meisten IoT-Botnetze heute funktionieren.<\/p>\n<p>\"Mein Freund Skiddy und ich werden den ganzen Bot \u00fcberarbeiten\", sagte Light gegen\u00fcber dem Sicherheitsforscher. \"Es wird auf jeden einzelnen \u00f6ffentlich bekannten Exploit abzielen, den Mirai oder Qbot laden.\" Anubhav beschrieb den Teenager als \"einen der prominentesten und talentiertesten IoT-Hacker, den es momentan gibt\". <\/p>\n<p>Es sei beeindruckend und gleichzeitig traurig, dass Light sein Talent illegal einsetzt. Die schlechte Nachricht f\u00fcr Light ist, dass er (im Gegensatz zum BrickerBot-Autor mit dem Alias Janit0r),eine minimale Spur von Fu\u00dfspuren hinterlassen hat. Diese Fehler k\u00f6nnten dazu f\u00fchren, dass er irgendwann auffliegt und dann f\u00fcr viele Jahre in den Knast wandert. Erg\u00e4nzung: Golem hat ebenfalls <a href=\"https:\/\/www.golem.de\/news\/brickerbot-2-0-neue-schadsoftware-moechte-iot-geraete-zerstoeren-1906-142153.html\" target=\"_blank\" rel=\"noopener noreferrer\">einen Artikel<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Akamai-Forscher Larry Cashdollar hat eine neue Variante der Silex-Malware entdeckt. Diese bef\u00e4llt aktuell Tausende von IoT-Ger\u00e4ten blockiert diese bzw. macht sie unbrauchbar. Binnen weniger Stunden wurden \u00fcber 2.000 Ger\u00e4te befallen. Urheber scheint ein Teenager zu sein, der plant, das &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/26\/silex-malware-befllt-2-000-iot-gerte-binnen-stunden\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5615,426],"tags":[4493,1018,4328],"class_list":["post-219780","post","type-post","status-publish","format-standard","hentry","category-iot","category-sicherheit","tag-iot","tag-malware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219780","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219780"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219780\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219780"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219780"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219780"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}