Johannes Ulrich, SANS-IT-Sicherheitsexperte, wollte es genau wissen. Er kramte seinen alten digitalen Videorekorder heraus und verband ihn mit dem Internet, nicht ohne vorher ein paar Einstellungen vorzunehmen. Nun konnte er diesen überwachen und monitoren was passieren würde.

Und zu seinem Erstaunen musste er nicht einmal lange warten, bis die IP-Adresse schon angegriffen wurde. Fast sogar jede Minute fand ein Angriffsversuch statt. Sein Videorekorder kam mit der Angriffsmenge nicht klar und Ulrich musste ihn mehrmals neu starten. Gleichzeitig hatte er ein wachsames Auge darauf, dass das Gerät nicht für Angriffe auf andere Systeme missbraucht wurde. Die Angreiffer versuchten sich mit mehreren Passwörtern einzuloggen und nicht alle waren damit erfolgreich. Der eingerichtete Honeypot lies nur eine bestimmte Anmeldung zu. Ein paar Mal in der Stunde gelang aber der Durchbruch. Dabei ging der jeweilige Angreifer sogar relativ vorsichtig vor. Zunächst wurden ein paar Befehle abgesetzt, um auszutesten, ob er es mit einem Router oder einen gewöhnlichen Honeypot wie Cowrie zu tun hatte.

Der Befehl Busybox ECCHI tauchte auf. Er hat wohl zwei Funktionen. Zum einen löst er eine Rückmeldung von Cowrie und Linux Verteilern aus, die gewöhnlich in digitalen Videorekordern eingebaut sind. Die Rückmeldung ist eine Hilfeseite, dass davon ausgeht, dass ein falsches Modul verwendet wurde. Damit kann ECCHI verwendet werden, um Honeypots und andere unwichtige Systeme aufzuspüren, wenn die Rückmeldung nicht ECCHI: applet not found lautet. Und dann wird der Befehl verwendet, um anzugeben, dass der vorherige Befehl zu Ende ist. Später dann wird /bin/busybox ECCHI am Ende jeder Zeile eingefügt und daraufhin wird der eigentliche Befehl ausgeführt.

Mit dem  Auslesen der /proc/cpuinfo und der Liste der Partitionen führt der Angreifer als nächstes ein sogenanntes Fingerprinting durch. Anschließend wird getestet, ob eine binäre Datei erstellt werden kann und weitere Befehle folgen.

Der Angreifer prüfte u.a. auch ob tftp und wget verfügbar waren. Auf dem System war nur tftp verfügbar. Damit versuchte der Angreifer ein dvrHelper-Tool herunterzuladen, was ihm jedoch misslang. Daraufhin wurde versucht eine Binärdatei zu bauen. Ulrich konnte zwei unterschiedliche Binärdateien sicherstellen. Eine hatte die Aufgabe zusätzliche Schadsoftware herunterzuladen über eine einfache TCP-Verbindung und das Zweite schien den gesamten Telnet Scanner einzuschließen.

Sobald das Datei heruntergeladen ist, fängt es mit dem Scannen nach anderen angreifbaren Hosts an in einer ziemlich hohen Rate etwa > 100 Verbindungen pro Sekunde. Die Ergebnisse werden minütlich an einen Datensammler auf Port 80 weitergeleitet. Die Bots haben nicht einmal versucht, das Passwort zu ändern. Vielmehr ließen sie es so, wie es war und damit stand Ulrichs digitaler Videorekorder für andere potenzielle Angriffe zur Verfügung. Und tatsächlich wurde er während Ulrichs Experiment mehrmals die Stunde erfolgreich angegriffen.

Es ist inzwischen klar, dass fast alle mit dem Internet verbundenen Geräte heutzutage nicht unbedingt echte Computer sein müssen. Gerade deswegen sind sie besonders angreifbar. Das liegt meistens an voreingestellten, äußerst schwachen Zugangsdaten. Ulrich stellte fest, dass nur manche Hersteller auf die aktuellen Gefahren reagiert haben. Allerdings zeigte er an einem Beispiel auf, wie stümperhaft das bewerkstelligt wurde. Aus dem Passwort admin wurde 7ujMko0admin. Für Hacker heute kein Problem. Daher haben wir es heute schon vermehrt mit Angriffen von 100.000 Geräte starken Botnets zu tun, die Angriffe im Bereich von über 1 TBps durchführen können.

Artikel von isc.sans.edu, 31.10.2016:  The Short Life of a Vulnerable DVR Connected to the Internet