Katana-Botnet befindet sich in Entwicklung
Avira: Neue Variante von Mirai entdeckt
Das Avira Protection Lab hat nach eigenen Angaben vor Kurzem eine neue Variante des Mirai-Botnets identifiziert. Diese neue Version ist nach dem japanischen Schwert Katana benannt. Obwohl sich das Katana-Botnet derzeit noch in Entwicklung befinde, verfüge es bereits über Module wie Layer 7 DDoS, unterschiedliche Verschlüsselungen je nach Ursprungsort, schnelle Selbstreplikation und eine gesicherte Verbindung zum Command-and-Control-Server. Es gibt laut Avira Hinweise darauf, dass Katana in Zukunft möglicherweise mit einem HTTP-Banking-Botnet verknüpft werden soll.
Bereits im Juni berichtete das Avira Protection Lab darüber, wie sich das IoT-Botnet Mirai seit der Veröffentlichung seines Quellcodes im Jahr 2017 entwickelt hat. Eine aktuelle Analyse der Sicherheitsexperten zu IoT-Angriffen und Malware-Trends zeige, dass sich Mirai auch derzeit stetig weiterentwickle. Auch bewerbe das Malware-Business die Varianten von Mirai häufig über YouTube-Kanäle, in diesem Fall gehe es um den Kanal VegaSec. Der einfache Zugang und weitere Änderungen ermöglichen es auch ungelernten Angreifern, bösartige Botnets zu erstellen, was eine Zunahme von Botnet-geführten IoT-Angriffen zur Folge haben könnte.
In den vergangenen zwei Wochen erfasste Avira mittels Honeypot eine Welle von bisher unbekannten Malware-Binärdateien. Man entschloss sich zu einer genaueren Untersuchung. Es stellte sich dabei folgendes heraus: Per Ausführung von Remote-Codes und Command-Injecton versucht das Katana-Botnet, alte Sicherheits-Schwachstellen in (älteren) LinkSys und GPON-Routern auszunutzen. Obwohl Katana alte Exploits verwendet – Avira geht davon aus, dass sich Katana in der Test- und Entwicklungsphase befindet –, sollte man es laut den Experten aufmerksam beobachten. Katana infiziere aktiv tägliche Hunderte von Geräten, es enthalte klassische Mirai-Funktionen wie einen zufälligen Prozessnamen oder einen Watchdog, und ähnlich wie Mirai biete es verschiedene DDoS-Befehle wie attack_app_http oder attack_get_opt_int.
Katana wird innerhalb eines bestimmten Zeitraums über verschiedene IP-Adressen heruntergeladen. Daten von Avira belegen, wie der Download-Prozess funktioniert. Das Katana-IoT-Botnet läuft als einzelne Instanz, indem es verschiedene Ports bindet. Details zur Port-Bindung sowie weitere Informationen zu Katana sind auf dem Avira-Blog abrufbar unter https://www.avira.com/en/blog/katana-a-new-variant-of-the-mirai-botnet.
Lesen Sie mehr zum Thema
