+43 699 / 18199463
office@itexperst.at
Hajime – Wurm: gut oder böse?

Hajime – Wurm mit guten oder bösen Absichten?

Seit der Entdeckung des Hajime Wurms durch Sicherheitsforscher von Rapidity Networks im Oktober letzten Jahres, Rätselraten die Experten immer noch über die genauen Absichten des Wurms. Sie erkennen zwar die eindeutig guten Absichten dahinter, sehen aber auch eine große Gefahr darin.

Wer immer Hajime kreiert hat, hat sich viel Mühe gegeben bei der Programmierung des Wurms und viel Zeit hineingesteckt. Wer das ist, weiß derzeit noch niemand. Hajime wurde auf den Weg geschickt, um möglichst viele ungeschützte Geräte im Internet der Dinge aufzuspüren und sie zu kapern. Fast scheint es so, als hätte es der Wurm dabei sehr eilig: Hajime verbreitet sich rasant und ganz von alleine durch sein Autoreplikationsmodul. In diesem Punkt unterscheidet sich Hajime also erst einmal kaum von anderen Würmern. Der Wurm stütz sich allerdings auf ein dezentrales Peer-to-Peer Netzwerk über das er seine Befehlsmodule und auch Updates nach und nach verteilt. Sobald ein Gerät infiziert ist, versteckt es dort seine laufenden Prozesse und Dateien in mehreren Schritten sehr gut und ist damit ausgezeichnet geschützt. Dazu verschlüsselt Hajime seine Knoten-Kommunikationen auch noch.

Allerdings zeigen sich die wahren Absichten des Hajime-Botnets erst auf den zweiten Blick. Der Wurm sendet eine kleine Nachricht an die Besitzer der Geräte, die kryptografisch signiert ist. Auf diese Nachricht kann nur mit einer Mitteilung geantwortet werden, die durch einem hartcodierten Schlüssel signierte ist. Alle 10 Minuten taucht eine Botschaft auf, die in etwa wie folgt lautet: „Nur ein White Hat, der einige Systeme absichert. Wichtige Nachrichten werden so unterschrieben sein! Hajime Autor.

Kontakt GESCHLOSSEN. Bleib wachsam!“. Dadurch kann davon ausgegangen werden, dass die Mitteilungen direkt vom Urheber des Wurms stammen. Hajime kapert außerdem IoT-Geräte bevor ein anderer Wurm, speziell einer namens Mirai, sie übernehmen kann. Experten gehen davon aus, dass Hajime sogar ganz speziell nur dafür programmiert wurde. Denn das Mirai Botnet treibt sein Unwesen im IoT seit Anfang Oktober 2016 mit spektakulären Attacken und nur wenige Wochen später tauchte Hajime erstmals auf. Beide Würmer verwenden sogar die gleichen Anwendernamen und Passwortkombinationen. Ein klarer Hinweis, laut den Experten, dass es Hajime direkt auf Mirai abgesehen hat.

Mittlerweile macht Hajime Mirai wirklich die Sache schwer. Hajime konnte laut Daten von Kaspersky Lab bisher geschätzte 300.000 Geräte weltweit übernehmen – überwiegend in Brasilien, Iran und Russland. Entsprechend reduziert sich Mirai’s Reichweite. Hajime wird noch durch eine andere Malware unterstützt: BrickerBot. Diese Malware geht jedoch ein bisschen wie die Axt im Walde vor – auf Kosten der Geräteeigentümer. BrickerBot löscht praktisch alles auf den infizierten Geräten und macht sie so unzugänglich für Mirai. BrickerBot sendet damit womöglich die klare Botschaft an die Hersteller: Euch interessiert die Sicherheit eurer Produkte nicht – hier habt ihr nun die Rechnung! Damit sind diese Geräte natürlich auch sicher vor dem Missbrauch als Teil irgendeines anderen Botnets.

Während die einen Experten den Macher von Hajime als White Hatter sehen, sind andere wie Symantec Ingenieur Waylon Grange eher skeptisch so viel Lob zu preisen. Obwohl der Wurm bis jetzt noch kein bisschen an bösartigen Inhalt enthielt, hat sich „Hajime Author“ eine Hintertüre offengelassen. Und genau das veranlasst die anderen Experten ihn eher als Grau Hatter einzustufen. Denn mit der Hintertüre sind alle möglichen Zukunftsszenarien möglich. Eine davon wäre eine denkbare Übernahme durch andere Hacker mit böswilligen Absichten. Grange weist auch darauf hin, dass solche Würmer normalerweise eine sehr kurze Lebensspanne haben. Hajime loszuwerden ist im Prinzip recht einfach: Ein Neustart des Geräts setzt es auf den alten, ungesicherten Zustand zurück und diesen Zustand kann nur ein komplettes Firmwareupdate verbessern. Das machen die meisten Gerätebesitzer jedoch nicht. Und Hajime selbst kann das leider auch nicht für sie machen – dazu muss direkt händisch auf das Gerät zugegriffen werden. Also bleibt Hajime nur eines übrig: Unermüdlich in einer Endlosschleife alle unsicheren Geräte immer wieder zu kapern, bis die Firmware irgendwann vielleicht doch endlich aktualisiert wird. Gleichzeitig öffnet das natürlich auch Mirai wieder die Zugriffsmöglichkeit für einen gewissen Zeitraum.

So geht der „weiße“ Wurm Hajime vor

Hajime sucht hauptsächlich gezielt nach ungesicherten digitalen Videorekordern und dann nach Webcams und Routern mit offenen Telnet-Ports. Allerdings vermeidet er mehrere Netzwerke, darunter die von General Electric, Hewlett-Packard, dem US Postal Service, das amerikanische Verteidigungsministerium sowie eine Reihe privater Netzwerke.

Eine kürzlich veröffentlichte technische Analyse zeigt, wie ausfeilt die Vorgehensweise des Wurms ist.

Hajime wühlt sich nicht durch eine voreingestellte Liste der am häufigsten verwendeten Zugangskombinationen, wie sonst üblich bei Kaperversuchen. Stattdessen analysiert er die auf dem Anmeldebildschirm angezeigten Informationen, um damit den Gerätehersteller zu identifizieren und versucht den Zugriff dann mit Anmeldekombinationen, die der bestreffende Hersteller standardmäßig verwendet. Beispielsweise versuchte Hajime beim Angriff auf einen MikroTik-Router, sich mit der werksseitigen voreingestellten Kombination – Benutzernamen “admin” und einem leeren Passwort -anzumelden. Sehr clever verringert der Wurm dadurch die Anzahl der ungültigen Passwörter deutlich und damit auch die Chancen entdeckt, gesperrt oder auf die schwarze Liste gesetzt zu werden.

Einmal installiert macht Hajime sich auf, den Zugang zu den Ports 23, 7547, 5555 und 5358 zu sperren. Das sind alles Ports mit weithin bekannten Sicherheitsschwachstellen, die insbesondere von Mirai ausgenutzt werden.

Was kann der Hajime Wurm noch? Hier ein Überblick

  • Er ändert die Telnet-Brute-Force-Sequenz von Anmeldeinformationen abhängig von der auszunutzenden Plattform
  • Er kann ARRIS-Modems mit dem Passwort-of-the-day “Backdoor” infizieren
  • Während des Infektionsprozesses kann er die Plattform erkennen und sich um fehlende Download-Befehle wie ‘wget’ herumschleichen durch die Verwendung eines Loader-Stubs ‘s’
  • Der Loader-Stub wird dynamisch mit hex-codierten Strings basierend auf handgefertigten Assembly-Programmen generiert, die für jede unterstützte Plattform optimiert sind. Die IP-Adresse und die Portnummer des Loaders werden in der Binärdatei beim dynamischen Erzeugen des Loader-Stubs gepatcht
  • Der Loader, von dem die Malware heruntergeladen wird, muss nicht der Knoten sein der die Infektion ausführt. Hajime kann die Erreichbarkeit des infizierenden Gerätes erkennen. Wenn sein Loader-Service-Port nicht im Internet verfügbar ist, wird er einen anderen Knoten aus seinem Netzwerk verwenden von dem er weiß, dass er erreichbar ist, um die anfängliche Malware-Binärdatei herunterzuladen
  • Er verwendet ein trackerloses Torrentnetz für den Nachrichtenaustausch
  • Er nutzt das Torrent Netzwerk auch für eigene Verbreitung und Aktualisieren
  • Um die benötigten Ports und TCP-Sockets zu minimieren, verwendet er das uTP-BitTorrent-Protokoll, anstatt nur TCP in Torrent-Transfers
  • Alle Torrent-Austauschvorgänge werden verschlüsselt und mit öffentlichen und privaten Schlüsseln signiert
  • Das Scan- und Load Erweiterungsmodul hat die Möglichkeit, UPnP-IGD- und kleine Löcher in Gateway-Geräten auszunutzen.

Hajimes Modus Operandi ist sehr ausgefeilt. Forscher haben folgende Merkmale über Hajime herausgefunden:

  • Er hat es abgesehen auf Linux-basierte Geräte, die auf den Arm5-, Arm6-, Arm7-, Mipseb- und Mipsel-Plattformen laufen
  • Hajime verbreitet sich: Durch Brute-Force Angriffe auf Telnet-Konten mit schwachen Anmeldeinformationen. Durch Ausnutzen eines Fehlers in dem TR-064-Protokoll, das von ISPs verwendet wird für den Fernzugriff auf Router.
  • Durch Arris-Kabelmodem „Passwort des Tages“-Angriffe.
  • Hajime verwendet genau die gleichen Benutzernamen- und Passwort-Kombinationen wie Mirai und noch zwei weitere
  • Hajime wird stetig weiterentwickelt vom Autor
  • Hajime steuert sein Botnetz über das P2P-Protokoll
  • Hajimes Bot-Kommunikationen sind verschlüsselt
  • Hajimes Binärdatei hat eine modulare Architektur und kann weitere Module für zusätzliche Funktionalitäten herunterladen
  • Die meisten dieser Module und Binärdateien werden auf anderen infizierten Bots gespeichert und nicht von einem zentralen Server heruntergeladen

Benutzerdefinierte Module können in beliebiger Sprache geschrieben sein, solange sie für eine der unterstützten Plattformen zu einer Binärdatei zusammengestellt werden können

Interessant ist auch, dass Sicherheitsforscher nach einer ersten Analyse des Wurms einige seiner Fehler publik gemacht hatten. Hajimes Urheber reparierte daraufhin seine Malware prompt. Ebenso interessant ist, dass der Autor seiner Malware nicht selbst diesen Namen gab, sondern ihn aufgriff aus einem Bericht von Rapidity Network.

Pascal Geenens, Cyber Security Evangelist für Radware ist einer der Hajime-Skeptiker. Er fragt sich, warum bestimmte Prozesse “atk” = Angriff genannt werden und nicht scannen oder entdecken. Und, so Geenens weiter, Hajime schließt Ports für Mirai, lässt aber einige für seine eigenen Zwecke offen.

“Wenn Hajime gute Absichten hat, warum belässt er nicht einfach die CWMP-Regeln und verbessert sie stattdessen? Warum macht er nicht die iptables Regeln nachhaltig?

Stephen Northcutt vom SANS Institute ist weniger harsch mit seinem Urteil: „Obwohl Hajime bisher keine schädlichen Inhalte hatte und er mehr tut als nur Telnets zu reparieren, hält er sich doch eine Hintertür offen. Ähnliche Vorfälle haben in der Vergangenheit aber gezeigt, dass derartige “White Hat” Würmer in der Regel nur eine kurze Lebensspanne haben.

Artikel von bbc.com, 20.04.2017: ‘Benign’ worm seeks out vulnerable smart devices
Artikel von bleepingcomputer.com, 18.04.2017: Vigilante Hacker Uses Hajime Malware to Wrestle with Mirai Botnets
Artikel von arstechnica.com, 19.04.2017: Vigilante botnet infects IoT devices before blackhats can hijack them
Artikel von symantec.com, 18.04.2017: Hajime worm battles Mirai for control of the Internet of Things
Artikel von theregister.co.uk, 27.04.2017: Mysterious Hajime botnet has pwned 300,000 IoT devices
Artikel von arstechnica.com, 27.04.2017: A vigilante is putting a huge amount of work into infecting IoT devices
Artikel von bleepingcomputer.com, 27.04.2017: Security Experts Worry as Hajime Botnet Grows to 300,000 Bots

Urheberrecht des Beitragsbildes: © by 123RF.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen