Mirai Mirai on the Wall - Botnet-Updates I (Mirai-Botnetze mit 400k Bots zu mieten)

imminent

"Imminent | Don't worry, it'll all be fine"
(c) copyright Erik Johansson www.erikjohanssonphoto.com

In diesem Artikel wollen wir die aktuellen Entwicklungen beleuchten, die um die riesigen IoT-Botnetze herum (Mirai u.a.) zu beobachten sind.

Es gab einiges an "Lessons learnt" durch den Angriff auf Dyn, vor allem, das Best Practices in diesem Fall durchaus gereicht hätten, den Impact zu minimieren. Es geht garnicht so sehr um die vielfach erwähnten TTL-Settings oder Anycast, sondern ganz einfach 2 unabhängige DNS-Provider für ein extrem robustes, redundantes DNS-Setup.

Man kann z.B. EasyDNS als Backup-Provider für die Hauptdomains nutzen und vermindert das Risiko, durch einen Ausfall des einzigen DNS-Providers in Mitleidenschaft gezogen zu werden.

Amazon hat diese Lektion jetzt gelernt:

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -t MX amazon.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30885
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 0

...

;; AUTHORITY SECTION:
amazon.com.     247 IN  NS  ns1.p31.dynect.net.
amazon.com.     247 IN  NS  pdns1.ultradns.net.
amazon.com.     247 IN  NS  pdns6.ultradns.co.uk.
amazon.com.     247 IN  NS  ns2.p31.dynect.net.
amazon.com.     247 IN  NS  ns3.p31.dynect.net.
amazon.com.     247 IN  NS  ns4.p31.dynect.net.

...

Mirai-Botnet mit 400.000 Bots zu mieten

Mirai-Botnetze sind zu mieten. In einer Werbekampagne via Jabber/XMPP werben die Betreiber damit, 400.000 Bots zu kontrollieren, die u.a. über Techniken zur Umgehung von Anti-DDoS-Maßnahmen verfügen.

mirai-spam (c) copyright BleepingComputers

Entsprechende finanzielle Mittel vorausgesetzt kann man jetzt Botnetze mit bis zu 400.000 Bots mieten, die Mindest-Buchzeit wird mit 2 Wochen angegeben.

Die Preise richten sich nach Dauer der Kampagne und Anzahl der gebuchten Bots und sind nach Angaben der Botnet-Betreiber folgendermaßen zu kalkulieren:

price for 50,000 bots with attack duration of 3600 secs (1 hour) 
and 5-10 minute cooldown time is approx 3-4k per 2 weeks

Das macht dann 11$/h.

Als Betreiber der Botnetze werden "BestBuy" und "Popopret" genannt.

Neues Super-Botnet?

Der oben schon erwähnte Botnet-betreiber "BestBuy" behauptet, über 3 Mio Router unter seiner Kontrolle zu haben.

On Monday, the cybercriminal, who calls himself BestBuy, claimed to have set up a server that would automatically connect to vulnerable routers and push a malicious firmware update to them. This, he said, would grant him persistent access and the ability to lock out the owners as well as internet providers and device manufacturers.

“They are ours, even after reboot. They will not accept any new firmware from Internet Service Provider or anyone, and connect back to us every time :),” BestBuy said in an online chat. “Bots that cannot die until u throw device into the trash.”

To prove his claims, BestBuy shared a URL that appeared to show the live stats of his Access Control Server (ACS), which he was using to push out the malicious firmware. As I browsed to the site, the number of “accessed” devices grew from 500,000 on Monday morning, to more than 1.3 million a few hours later.

Wird es langsam Zeit, die Notfallvorräte zu überprüfen?

Referenzen

date: 2016.12
tags: analyse botnet ddos mirai security

You code … we platform.