Honeypots: Forscher analysieren Angriffe auf IoT-Systeme

18. Januar, 2022

IoTDie Anzahl kleiner, intelligenter Geräte und Systeme („Internet of Things“) steigt unaufhaltsam. Ein Großteil der neuen Services kommt mit einem zusätzlichen Netzwerkanschluss und „smarten“ Funktionen – Kameras, Beleuchtung, Zutrittssysteme, Anzeigen, Bewegungssensoren, Lautsprecher, Thermostate und vieles mehr.

Schätzungen zufolge werden bis zum Jahr 2025 mehr als 40 Milliarden smarte Geräte mit dem Internet verbunden sein und verschiedenste verteilte Computing-Funktionen anbieten. Die massive Verbreitung unterschiedlichster Endgeräte mit einer unüberschaubaren Anzahl an Softwarevarianten und Versionen bedeutet ein immenses Sicherheitsrisiko.

Die Bedrohungen reichen von simplen Szenarien wie dem Missbrauch für Krypto-Mining oder als Teil von Denial-of-Service Angriffen bis hin zu dauerhaften Backdoors für unautorisierte Fernzugriffe. Eine Analyse der bevorzugten Angriffsarten soll helfen, geeignete Abwehrmaßnahmen zu identifizieren.

IoT-Forschungsprojekte in den USA und Österreich

Ein Projekt an der Universität von Florida in Zusammenarbeit mit dem NIST (National Institute of Standards and Technology) simulierte über drei Jahre verschiedene IoT-Systeme und wertete über 22 Millionen darauf erfolgte Angriffsversuche aus.[1]

Auch in Österreich steht ein ähnlich angelegtes Projekt kurz vor dem Abschluss. Unter der Leitung von SBA Research sollen bis Juni 2022 Ergebnisse vorliegen. Ziel von „AutoHoney(I)IoT“ ist es, eine nachhaltige Verbesserung der Cybersicherheit von kleinen verteilten Systemen zu erreichen.[2]

Beide Projekte nutzen sogenannte „Honeypots“, virtuelle Abbilder echter Systeme, die so modifiziert und platziert werden, dass sie gefunden werden. Alle Schritte der Angreifer können genau beobachtet und die dabei verwendeten Methoden und Werkzeuge analysiert werden. Die gewonnenen Erkenntnisse helfen direkt dabei, Produktivsysteme besser zu schützen.

Muster im Vorgehen der Angreifenden erkennbar

Das bereits abgeschlossene Projekt auf den USA zeigt erkennbare Muster in der Vorgehensweise und den Zielen der Angreifenden. Die meisten Angriffe beginnen mit Massenscans nach offenen Ports und gezielten Kommandos, um die Firewall zu deaktivieren. Weitere gängige Befehle werden ausgeführt, um Informationen über die Hardware zu sammeln. Die am häufigsten versuchte Passwortkombination zum Zugriff auf IoT-Geräte war „admin“ / „1234“, was die Vermutung nahelegt, dass diese Zugangsdaten oft zum Erfolg führen.

Zur meist genutzten Schadsoftware auf IoT-Systeme zählen Krypto-Miner, die die Rechenleistung des Ziel-Systems missbrauchen, um Krypto-Währungen für die Angreifer zu errechnen, sowie Botnet-Clients. Dabei wird das IoT-Gerät in ein weltweites extern kontrolliertes Netzwerk wie beispielsweise Mirai integriert, um auf Befehl beispielsweise Denial-of-Service Angriffe durchzuführen. Auch der Einsatz Viren, Dropper, Trojanern und Rootkits wurde beobachtet.

Wie kann man IoT-Systeme besser absichern?

Unternehmen wie auch Privatbetreiber sollten immer einen aktuellen Überblick behalten, welche „smarten“ Systeme im eigenen Netzwerk vorhanden und aktiv sind. Mit ein paar einfachen Schritten ist es möglich, die Sicherheit dieser Geräte zu verbessern:

  • Ändern Sie den Standardbenutzer und vergeben Sie ein individuelles, starkes Passwort
  • Verwenden Sie ein separates, möglichst isoliertes Netzwerk für IoT-Geräte
  • Installieren Sie verfügbare Firmware- oder andere Sicherheitsupdates so schnell wie möglich
  • Überwachen Sie Ihre IoT-Geräte aktiv und achten Sie auf Anzeichen eines Missbrauchs

Im Betriebsumfeld sind die Überwachung der Netzwerke und Kommunikationsbeziehungen sowie die Erkennung von Verwundbarkeiten und Anomalien über passive Sensoren Stand der Technik. IKARUS-Kund*innen können dazu auf die marktführenden Technologien von Nozomi Networks zugreifen: Sie erhalten alle Informationen, die Sie benötigen, um Sicherheit zu gewährleisten, Risiken zu minimieren und bei Anomalien schnell zu reagieren.

Quellen:

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download