Skip to Main Content
< ZurückMontag, 26. Oktober 2020

Avira hat eine neue Variante von Mirai entdeckt

Die neu entdeckte Variante names Katana befindet sich noch in Entwicklung, sie besitzt jedoch gegenüber Mirai eine Vielzahl an Upgrades.

TETTNANG, 26. Oktober 2020 – Das Avira Protection Lab hat vor Kurzem eine neue Variante des Mirai-Botnets identifiziert – die neue Version wurde nach dem japanischen Schwert Katana benannt. Obwohl sich das Katana-Botnet derzeit noch in Entwicklung befindet, verfügt es bereits über Module wie Layer 7-DDoS, unterschiedliche Verschlüsselungen je nach Ursprungsort, schnelle Selbstreplikation und eine gesicherte Verbindung zum Command-and-Control-Server (C&C). Es gibt Hinweise darauf, dass Katana in Zukunft möglicherweise mit einem HTTP-Banking-Botnet verknüpft wird.

Bereits im Juni berichtete das Avira Protection Lab darüber, wie sich das IoT-Botnet Mirai seit der Veröffentlichung seines Quellcodes im Jahr 2017 entwickelt hat. Eine aktuelle Analyse von Avira zu IoT-Angriffen und Malware-Trends zeigt, dass sich Mirai stetig weiterentwickelt. Auch werden Varianten von Mirai häufig über YouTube-Kanäle beworben, in diesem Fall der Kanal VegaSec. Der einfache Zugang und weitere Änderungen ermöglichen es auch ungelernten Angreifern, bösartige Botnets zu erstellen, was eine Zunahme Botnet-geführter IoT-Angriffe zur Folge haben könnte.

Katana im Detail

In den vergangenen zwei Wochen erfasste Avira mittels Honeypot eine Welle von bisher unbekannten Malware-Binärdateien, infolgedessen sich das Avira-Team entschloss, der Sache näher auf den Grund zu gehen. Es fand dabei folgendes heraus: Per Ausführung von Remote-Codes und Command-Injecton versucht das Katana-Botnet alte Sicherheits-Schwachstellen in (älteren) LinkSys und GPON-Routern auszunutzen. Obwohl Katana alte Exploits verwendet – Avira geht davon aus, dass sich Katana in der Test- und Entwicklungsphase befindet –, hat es dennoch die Aufmerksamkeit des Avira-IoT-Forschungsteams erregt, denn:

  • Katana infiziert aktiv tägliche Hunderte von Geräten.
  • Es enthält klassische Mirai-Funktionen wie ein zufälliger Prozessname oder einen Watchdog.
  • Ähnlich wie Mirai bietet es verschiedene DDoS-Befehle wie ‚attack_app_http‘ oder ‚attack_get_opt_int‘.

Katana wird innerhalb eines bestimmten Zeitraums über verschiedene IP-Adressen heruntergeladen. Daten von Avira belegen, wie der Download-Prozess funktioniert. Das Katana-IoT-Botnet wird als einzelne Instanz ausgeführt, indem es verschiedene Ports bindet.

Details zur Port-Bindung sowie weitere Informationen zu Katana sind auf dem Avira-Blog abrufbar: https://www.avira.com/de/blog/katana-eine-neue-variante-des-botnets-mirai

„Katana enthält mehrere Merkmale von Mirai. Dazu gehören das Ausführen einer einzelnen Instanz, ein zufälliger Prozessname, die Bearbeitung des Watchdogs, um einen Neustart des Geräts zu verhindern, sowie DDoS-Befehle“, erklärt Alexander Vukevic, Leiter des Avira Protection Labs „Problematisch an neuen Mirai-Varianten wie Katana ist, dass sie im DarkNet oder über reguläre Seiten wie YouTube angeboten werden, wodurch ungeübte Cyberkriminelle ihre eigenen Botnets erstellen können.“ 

Ein hochauflösendes Foto von Alexander Vukevic ist unter folgendem Link verfügbar: https://assets.prod.cms.avira.com/cache-buster-1566992971/assets/www/_pim/about/management/A_Vukcevic.png

 

###

Presse-Kontakt: André Adler, andre.adler@avira.com, +49 151 113 422 42


Important: Your current Windows version is outdated and no longer supported.
For your security, we recommend switching to Windows 10 before downloading Avira software.
Update your Windows version here.
Wichtig: Ihre Windows-Version ist veraltet und wird nicht mehr unterstützt.
Zu Ihrer Sicherheit empfehlen wir Ihnen den Wechsel zu Windows 10 vor dem Download unserer Software.
Hier können Sie Ihr Windows aktualisieren.
Important: Votre version actuelle de Windows est obsolète et n’est plus prise en charge.
Pour votre sécurité, nous vous conseillons de passer à Windows 10 avant de télécharger le logiciel Avira.
Mettez à jour votre version de Windows ici.
Importante: Tu versión actual de Windows está desactualizada y ya no es compatible.
Por tu seguridad, te recomendamos que instales Windows 10 antes de descargar la solución de Avira.
Actualiza aquí tu versión de Windows.
Importante: La tua attuale versione di Windows è obsoleta e non è più supportata.
Per la tua sicurezza, ti consigliamo di passare a Windows 10 prima di scaricare i software Avira.
Aggiorna la tua versione di Windows qui.
Importante: Sua versão atual do Windows está desatualizada e não tem mais suporte.
Para sua segurança, recomendamos que troque para o Windows 10 antes de baixar o software da Avira.
Atualize sua versão do Windows aqui.
Важно: ваша версия Windows устарела и больше не поддерживается.
Из соображений безопасности перед загрузкой ПО Avira мы рекомендуем перейти на Windows 10.
Обновить Windows вы можете здесь.
Belangrijk: Uw huidige versie van Windows is verouderd en wordt niet meer ondersteund.
Voor uw veiligheid adviseren wij u om over te stappen op Windows 10 voordat u de Avira-software downloadt.
Update uw Windows-versie hier.
Önemli: Kullanmakta olduğunuz Windows sürümü eski ve artık desteklenmiyor.
Güvenliğiniz için Avira yazılımını indirmeden önce Windows 10 sürümüne yükseltmenizi öneririz.
Windows sürümünü buradan güncelleyin.
重要 : 現在お使いの Windows バージョンは古いため、サポートされなくなりました。
安全のため、Avira ソフトウェアをダウンロードする前に Windows 10 に切り替えることをお勧めします。
こちらより Windows バージョンをアップデートしてください
重要信息 : 您当前的 Windows 版本已过时,并且不再受支持。
为了安全起见,我们建议您在下载 Avira 软件之前切换到 Windows 10。
在此升级您的 Windows 版本
重要資訊 : 您當前的 Windows 版本已過時,並且不再受支援。
為了安全起見,我們建議您在下載 Avira 軟體之前切換到 Windows 10。
在此升級您的 Windows 版本