Mirai NoaBot: Schutz von Servern vor Krypto-Mining-Bedrohungen
Bei den jüngsten Entwicklungen im Bereich der Cybersicherheit wurde ein neues Mirai-basiertes Botnetz bekannt als Mirai NoaBot aufgetaucht und stellt seit Anfang 2023 eine erhebliche Bedrohung für Linux-Server dar. Die Telemetriedaten von Akamai, die von Honeypots abgeleitet wurden, zeigen ein stetiges Wachstum der NoaBot-Infektionen, wobei gerade im letzten Monat ein Spitzenwert verzeichnet wurde.
Dieser Blogbeitrag befasst sich mit den Feinheiten der FTC-Warnung vor NoaBot-Malwareund beleuchtet seinen Ursprung, seinen Modus Operandi und die Maßnahmen, die Unternehmen zum Schutz ihrer Systeme ergreifen können.
Die Taktik von Mirai NoaBot enthüllen
Akamai-Forscher fanden heraus, dass NoaBot auf SSH-Angriffe mit Wörterbüchern für Anmeldedaten angewiesen ist, um sich seitlich zu bewegen. Mit über 800 eindeutige IP-Adressen die weltweit Anzeichen einer Infektion aufweisen, können 10 % dieser Fälle nach China zurückverfolgt werden. NoaBot nutzt folgende Schwachstellen aus SSH-Server-Schwachstellen die von Unternehmen oft übersehen werden - einfache alte SSH-Anmeldedaten. Die FTC-Warnung zu Angriffen auf Krypto-Server unterstreicht die wachsende Bedrohungslandschaft im digitalen Raum.
Entwicklung von Mirai zu NoaBot
Mirai, ursprünglich ein DDoS-Botnetz im Jahr 2016, bereitete den Boden für nachfolgende sich selbst verbreitende Linux-Botnets, von denen sich einige auf DDoS-Angriffeandere auf Krypto-Mining und wieder andere auf beides. NoaBot, ein Derivat von Mirai, zeichnet sich durch seine Modifikationen aus, die in erster Linie den Telnet-Scanner durch einen SSH-Scanner ersetzen.
Diese Verschiebung ist sinnvoll, da Linux-Server im Gegensatz zu eingebetteten Geräten eher SSH aktiviert haben. Deshalb, Schutz vor Mirai NoaBot von entscheidender Bedeutung, um die Sicherheit von Linux-Servern angesichts der sich entwickelnden Cyber-Bedrohungen zu gewährleisten.
NoaBot's Einzigartige Eigenschaften
Die Schöpfer von NoaBot haben den Mirai-Quellcode erheblich verändert, um eine unverwechselbare Identität zu gewährleisten. Sie ersetzten den Compiler von GCC durch uClib, wodurch sich der Binärcode deutlich von Mirai unterscheidet. Vor allem der SSH-Scanner von NoaBot hinterlässt eine eindeutige Signatur - bei einer akzeptierten SSH-Verbindung sendet der Botnet-Client die unkonventionelle Nachricht "Hallo". die zur Erstellung einer Firewall-Signatur verwendet werden kann.
Persistenzmechanismen und Backdoor-Funktionalität
NoaBot führt einen Persistenzmechanismus namens "noa" der sicherstellt, dass er auch dann noch vorhanden ist, wenn die passwortbasierte Authentifizierung deaktiviert ist. Bei diesem Mechanismus wird ein vom Angreifer kontrollierter Schlüssel zu den SSH-autorisierten Schlüsseln hinzugefügt. Außerdem kann die Cryptocurrency Mining Malware Bot als Hintertür, lädt zusätzliche Binärdateien herunter und erstellt einen Crontab-Eintrag, um sicherzustellen, dass er nach einem Systemneustart gestartet wird.
Angriffe auf Krypto-Mining-Server
NoaBot enthält XMRig, ein weit verbreitetes Open-Source-Programm zum Mining von Kryptowährungen. Die Bedrohungsakteure, die hinter NoaBot stehen, haben jedoch fortschrittliche Änderungen an XMRig vorgenommen und dessen Konfiguration, insbesondere die IP-Adresse des Mining-Pools, verschleiert und verschlüsselt. Die Forscher vermuten, dass die Bedrohungsakteure einen privaten Pool betreiben, so dass keine Brieftasche angegeben werden muss und die Kontrolle über die gesammelten Kryptowährungen erhalten bleibt.
P2PInfect Verbindung
Die Akamai-Forscher haben eine mögliche Verbindung zwischen den Machern von NoaBot und einer angepassten Version von P2PInfect, einem selbstreplizierenden, in Rust geschriebenen Wurm. P2PInfect zielt auf Redis-Server ab und nutzt eine Lua-Schwachstelle aus.
Es bleibt zwar unklar, warum die Bedrohungsakteure von Mirai auf P2PInfect umgestiegen sind, aber die Forscher vermuten, dass die Verwendung von benutzerdefiniertem Code auf den Wunsch nach einem schwierigeren Reverse Engineering hinweisen könnte.
Mirai NoaBot-Schutzprotokolle
Cybersecurity für SSH-Server ist ein wichtiger Aspekt für den Schutz sensibler Daten und die Aufrechterhaltung der Netzwerkintegrität. Das Team von Akamai hat proaktiv eine Liste von Indikatoren für eine Kompromittierung auf seinem GitHub-Repository veröffentlicht, zusammen mit YARA-Erkennungssignaturen, die auf die Identifizierung von NoaBot-Binärdateien zugeschnitten sind.
Zusätzlich zur Nutzung dieser Ressourcen wird Unternehmen dringend empfohlen, die Standardverfahren zur SSH-Absicherung anzuwenden. Dazu gehören die Beschränkung des SSH-Zugangs auf vertrauenswürdige IP-Adressen und die Implementierung einer schlüsselbasierten Authentifizierung, die wirksame Maßnahmen gegen Wörterbuchangriffe darstellen.
Schlussfolgerung
Die Cybersicherheitslandschaft entwickelt sich ständig weiter, Mirai NoaBot Cyber-Bedrohungen zeigen, wie wichtig proaktive Abwehrmaßnahmen sind. Wenn Unternehmen die Taktiken solcher Botnets verstehen und bewährte Verfahren anwenden, können sie ihre Systeme vor unbefugtem Zugriff, Datenverletzungen und potenziellen Störungen schützen. Wachsamkeit, kontinuierliche Überwachung und die Einhaltung von Sicherheitsprotokollen sind entscheidend für den Schutz vor den sich ständig ändernden IoT-Geräte Sicherheitsrisiken.
Organisationen müssen über aufkommende bösartige Aktivitäten beim Kryptowährungs-Mining informiert bleiben und die verfügbaren Ressourcen zur Erkennung und Prävention nutzen. Darüber hinaus müssen sie auch Folgendes in Betracht ziehen automatische Patching-Lösungen um Ausfallzeiten zu minimieren und robuste Sicherheitsprotokolle zu gewährleisten.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und CSO.