Aktuelles, Branche - geschrieben von cp am Mittwoch, Oktober 24, 2018 21:18 - noch keine Kommentare
IoT-Botnetze nutzen weiterhin erfolgreich Standardpasswörter aus
NETSCOUT Arbor identifiziert Liste mit 1.065 Kombinationen aus Benutzername und Passwort aus 129 verschiedenen Ländern
[datensicherheit.de, 24.10.2018] Hacker nutzen weiterhin erfolgreich werkseitig voreingestellte Benutzernamen und Passwörter (Default-Einstellung) in IoT-Geräten aus, um Botnetze aufzubauen. Per Brute-Force-Methode wählen Cyberkriminelle nach dem Zufallsprinzip Ziel-Geräte aus. Anschließend versuchen sie diese automatisiert mit Kombinationen aus Default-Einstellungen zu infiltrieren. Für den Monat September konnte NETSCOUT Arbor eine Liste mit 1.065 Kombinationen aus 129 verschiedenen Ländern identifizieren. Vor allem Distributed-Denial-of-Service (DDoS) -Angriffe lassen sich über Botnetze schlagkräftig ausführen. Ziel der Hacker, die DDoS-Angriffe einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen.
Die Top 5 der Default-Kombination im Monat September sind:
- admin/admin
- guest/12345
- root/vizxv
- root/xc3511
- support/support
- root/default
Hinweis: Diese Passwort-Kombinationen sind auch mit dem ursprünglichen Mirai-Quellcode enthalten. Die zwei Kombinationen vizxv und xc3511, die auf die DVRs (digitale Videorekorder) abzielen, verhalfen dem ursprünglichen Mirai-Botnetz zum Erfolg.
Darüber hinaus hat NETSCOUT Arbor eine Liste der häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert, die nicht im ursprünglichen Mirai-Quellcode enthalten sind:
- default/default
- root/1001chin
- root/
- telnetadmin/telnetadmin
- root/ttnet
- root/taZz@23495859
- root/aquario
- e8telnet/e8telnet
- admin/
- telnet/telnet
- e8ehome/e8ehome
- root/cat1029
- root/5up
- root/ivdev
- admin/aquario
- root/zsun1188
- default/antslq
- root/founder88
- admin/ipcam_rt5350
- default/
Diese Liste enthält eine Mischung der Benutzernamen und Passwörter aus Basic, Default/Default und Root/ sowie spezifischen Kombinationen aus Root/1001chin und Root/taZz@23495859. Die spezifischeren Passwörter beziehen sich auf die werkseitigen Voreinstellungen für bestimmte Geräte. In den letzten zwei Jahren haben sich Angreifer darauf konzentriert, neue Geräte aufzunehmen.
Wenn ein automatisierter Bot, wie Mirai, einen Brute-Force-Angriff durchführt, besteht die Möglichkeit, dass das ausführende Gerät für genau denselben Angriff anfällig ist. Tatsächlich ist es möglich, dass das Gerät, das die Brute-Force-Attacke ausführt, bereits über den gleichen Angriff, vielleicht sogar die gleiche Kombination aus Benutzername und Passwort, zum Teil des Botnetzes wurde. Einige Geräte treten in bestimmten Ländern stärker in Erscheinung, entweder aufgrund der Verfügbarkeit oder der Popularität. Diese Liste zeigt die Popularität einiger Usernamen-/ Passwort-Kombinationen im lokalen Ranking (Land) gegenüber der globalen Verteilung dieser Kombination (overall Rank):
Land | Username/Password | Local Rank | Overall Rank |
Russia | root/20080826 | 7 | 91 |
Russia | vstarcam2015/20150602 | 10 | 105 |
China | telecomadmin/admintelecom | 1 | 9 |
China | telnetadmin/telnetadmin | 2 | 13 |
China | e8ehome/e8ehome | 10 | 37 |
Brazil | root/aquario | 2 | 23 |
Vietnam | root/20080826 | 8 | 91 |
Indonesia | Administrator/admin | 5 | 92 |
Iran | admin1/password | 5 | 84 |
Iran | mother/fucker | 6 | 88 |
Iran | admin/54321 | 7 | 75 |
Iran | root/12345 | 8 | 35 |
Iran | admin/meinsm | 9 | 68 |
Canada | root/xmhdipc | 9 | 30 |
Nigeria | telecomadmin/admintelecom | 1 | 9 |
Die Kombination root/20080826, die hauptsächlich aus Russland stammt, scheint auf das Gerät TM02 TripMate – ein tragbarer WLAN Router – abzuzielen. Die Kombination vstarcam2015/20150602 zielt wahrscheinlich auf Webcams ab. Beide Geräte sind in den USA erhältlich, aber vor allem in Russland sehr beliebt. Da die Quellen gut verteilt sind, handelt es ich aller Wahrscheinlichkeit nach nicht um ein gezieltes Scannen, sondern um das Verhalten eines Bots. Die Kombination Telecomadmin/Admintelecom zielt auf Huawei-Geräte ab, die außerhalb westlicher Länder deutlich weiter verbreitet sind. Die Kombination aus Benutzernamen und Passwörtern aus dem Iran könnte auf einen älteren Bot hinweisen.
Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor, kommentiert: „IoT-Bots wählen ihr Ziel nach dem Zufallsprinzip und probieren solange Default-Kombinationen aus, bis die Liste erschöpft oder der Angriff erfolgreich ist. Security-Experten können mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Botnetz verhält, kann dabei helfen, das Targeting und die Methodik der Betreiber zu verstehen. Zusammenfassend zeigen unsere Untersuchungen, dass IoT-Geräte immer noch sehr leicht infiltriert werden können und daher anfällig für eine missbräuchliche Verwendung sind.“
Hintergrundinformationen:
Die IoT-Malware Mirai aus dem Jahr 2016 nutzte vor allem Standardbenutzernamen und Passwörter aus, um sich erfolgreich zu verbreiten. Darauf basierend wurden mehrere Mirai-Ableger entwickelten, die unter anderem Exploits einsetzten, um Schwachstellen auszunutzen. Später haben die Mirai-Macher eine eigene Liste mit Benutzernamen und Passwörtern zusammengestellt, die in den öffentlichen Mirai-Quellcode aufgenommen wurde. Dieser Code ermöglichte es jeder Person mit minimalen technischen Fähigkeiten, sein eigenes IoT-Botnetz aufzubauen. Einige Hacker erstellten daraufhin eigene benutzerdefinierte Listen mit Benutzernamen und Passwörtern, um Geräte zu infizieren, die bisher nicht infiltriert waren.
Weitere Informationen zum Thema:
Arbor Networks® ASERT
Karte mit Telnet-basierten Brute-Force-Angreifern
datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte
datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche
datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things
datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit
datensicherheit.de, 29.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel
datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein
Aktuelles, Experten - Dez 3, 2024 14:12 - noch keine Kommentare
Crimenetwork: BKA und ZIT gelang Abschaltung
weitere Beiträge in Experten
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
Aktuelles, Branche, Veranstaltungen - Dez 3, 2024 14:42 - noch keine Kommentare
NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
weitere Beiträge in Branche
- Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen
- KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren