'Hajime-malware is een poging om uitbreiding Mirai-botnet te voorkomen'

Beveiligingsbedrijf Symantec heeft een analyse gepubliceerd van de Hajime-malware, die zich op onveilige iot-apparaten richt. Daaruit blijkt dat het niet om een kwaadwillende variant als Mirai gaat, maar dat Hajime bedoeld lijkt te zijn om de verspreiding van Mirai te verhinderen.

De Hajime-malware werd in oktober 2016 ontdekt door het beveiligingsbedrijf Rapidity. Dat gebeurde kort nadat de broncode van de Mirai-malware online verschenen was, wat het ontstaan van verschillende varianten tot gevolg had. Destijds schreef het bedrijf dat het doel van Hajime 'een mysterie' was, omdat de variant geen module bevatte om kwaadaardige acties uit te voeren, zoals een ddos-aanval. Symantec schrijft dat dit nu nog steeds het geval is, maar dat de software ook een bericht in de terminal van een geïnfecteerd systeem toont.

Daarin staat de tekst 'just a white hat, securing some systems', waardoor de indruk wordt gewekt dat het om een 'ethische' hacker gaat die niet uit is op het veroorzaken van schade. De mededeling is voorzien van een digitale handtekening, waardoor het volgens Symantec aannemelijk is dat deze daadwerkelijk afkomstig is van de auteur van Hajime. De ogenschijnlijk 'goedaardige' malware kan echter naderhand alsnog voorzien worden van ddos-mogelijkheden, waardoor het moeilijk in te schatten is of de auteur daadwerkelijk goede bedoelingen heeft.

Er zijn echter aanvullende aanwijzingen die deze theorie ondersteunen. Zo schrijft de Symantec-onderzoeker dat Hajime geïnfecteerde apparaten veiliger maakt door poorten met nummers 23, 7547, 5555, en 5358 te sluiten. Deze worden voor een deel gebruikt voor de verspreiding van de Mirai-malware. De malware voert geen aanpassing van de firmware door, waardoor de aangepaste instellingen na een herstart weer ongedaan worden gemaakt en het apparaat opnieuw doelwit wordt voor iot-malware.

Er zijn verschillen en overeenkomsten tussen Hajime en Mirai. Zo verspreidt Hajime zich via onveilige apparaten met een open Telnet-poort en standaardaccounts. De malware gebruikt dezelfde combinaties van gebruikersnaam en wachtwoord als Mirai, in aanvulling op twee andere combinaties. Het verschil is dat Hajime gebruikmaakt van een decentraal netwerk, terwijl Mirai verbinding maakt met een enkele c2-server. Bovendien probeert de malware verborgen te blijven.

Volgens Symantec heeft Hajime zich in de afgelopen maanden snel verspreid. De malware zou inmiddels 'tienduizenden' apparaten hebben geïnfecteerd, met name in Brazilië en Iran. Hajime is niet de eerste malwarevariant die een 'goedaardig' doel lijkt te dienen. Zo ontwikkelde onderzoeker Jerry Gamblin in oktober een worm die Telnet-inloggegevens wijzigde van kwetsbare iot-apparaten. Na kritiek beëindigde hij zijn project echter. Het verspreiden van een worm brengt apparaten in gevaar en is bovendien onethisch en soms illegaal, vinden critici. Een soortgelijke variant is BrickerBot, die recentelijk opdook. Deze malware maakt kwetsbare iot-apparaten nagenoeg onbruikbaar.

De Mirai-malware en varianten daarvan worden gebruikt om botnets te maken van verschillende iot-apparaten. Vaak gaat het om ip-camera's en digitale videorecorders. Samen zijn deze apparaten in staat om krachtige ddos-aanvallen uit te voeren, zoals op dns-provider Dyn. De verwachting was dat er dit jaar nog meer grote ddos-aanvallen zouden plaatsvinden, maar dat is tot nu toe niet gebeurd. Het woord 'mirai' betekent 'toekomst' in het Japans; 'hajime' betekent 'begin'.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 19-04-2017 13:01 35

19-04-2017 • 13:01

35

Lees meer

Maker Mirai-botnet moet universiteit 8,6 miljoen dollar schadevergoeding betalen
Maker Mirai-botnet moet universiteit 8,6 miljoen dollar schadevergoeding betalen Nieuws van 28 oktober 2018
MikroTik roept op oud lek te patchen dat wordt misbruikt door botnet
MikroTik roept op oud lek te patchen dat wordt misbruikt door botnet Nieuws van 29 maart 2018
Verdachten bekennen schuld aan ontwikkelen Mirai-malware
Verdachten bekennen schuld aan ontwikkelen Mirai-malware Nieuws van 13 december 2017
Maker BrickerBot-malware claimt 10 miljoen iot-apparaten te hebben geïnfecteerd
Maker BrickerBot-malware claimt 10 miljoen iot-apparaten te hebben geïnfecteerd Nieuws van 12 december 2017
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten'
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten' Nieuws van 20 oktober 2017
Google verwijdert 300 apps uit Play Store die deel uitmaakten van Android-botnet
Google verwijdert 300 apps uit Play Store die deel uitmaakten van Android-botnet Nieuws van 29 augustus 2017
'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers'
'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers' Nieuws van 21 augustus 2017
'Lek in gSOAP-softwarebibliotheek maakt veel iot-apparaten kwetsbaar'
'Lek in gSOAP-softwarebibliotheek maakt veel iot-apparaten kwetsbaar' Nieuws van 19 juli 2017
Brit krijgt twee jaar gevangenis voor aanbieden ddos-dienst en andere misdrijven
Brit krijgt twee jaar gevangenis voor aanbieden ddos-dienst en andere misdrijven Nieuws van 26 april 2017
BrickerBot-malware maakt iot-apparaten vrijwel onbruikbaar
BrickerBot-malware maakt iot-apparaten vrijwel onbruikbaar Nieuws van 7 april 2017
Onderzoeker ontwikkelt goedaardige worm om Mirai-botnet te bestrijden
Onderzoeker ontwikkelt goedaardige worm om Mirai-botnet te bestrijden Nieuws van 31 oktober 2016
Ddos-aanval op dns-provider Dyn werd uitgevoerd met Mirai-botnet
Ddos-aanval op dns-provider Dyn werd uitgevoerd met Mirai-botnet Nieuws van 22 oktober 2016
Meer producten en artikelen
Netwerk en systeembeheer Botnetwerk Security

Reacties (35)

-Moderatie-faq
35
31
20
3
0
5
Wijzig sortering
WhatsappHack
19 april 2017 13:19
"Het verspreiden van een worm brengt apparaten in gevaar en is bovendien onethisch en soms illegaal, vinden critici."

Dat is zo. Maar als mensen, bedrijven en ontwikkelaars zelf steeds niets doen aan de beveiliging van hun apparaten, dan is t toch de vraag wat een groter probleem is... Een worm die de gaten dicht, of de apparaten kwetsbaar laten en zo weer anderen infecteren of grote ddos aanvallen uitvoeren. Wat dat betreft zal zo'n "goedaardige worm" meer problemen oplossen dan veroorzaken. Al blijft het illegaal, discutabel en nogal een risico... Lastige situatie. :)
DrkNess @WhatsappHack19 april 2017 14:01
Als er al een reden is om te twijfelen of deze worm wel of niet schadelijk is dan is het wel het feit dat naast het sluiten van poorten, er ook een nieuwe backdoor geopend wordt die toegang tot de apparaten verschaffen kan.

Bron: https://www.symantec.com/...i-control-internet-things
T-Forever @DrkNess19 april 2017 18:58
'Waar rook is, is vuur' ik zeg liever 'waar rook is, is de brandweer' je kan met deze redenatie alles en iedereen wantrouwen, de brandweer kan ook je deur openbreken als je op je werk zit...
DrkNess @T-Forever20 april 2017 15:45
Dit is eerder een geval van de sleutelmaker zet een nieuw slot in de deur maar houdt vervolgens zelf een loper waarmee hij nog naar binnen kan komen.
SuperDre @WhatsappHack19 april 2017 13:36
tja, ipv beslissen om iemand anders zijn 'systeem' te bricken kun je ook kiezen om te kijken naar een methode om te zorgen dat het apparaat wel veilig is.. Als ik vind dat jij een gevaar bent (omdat je bv altijd achter het stuur met een smartphone zit of alcohol) ga ik jou toch ook niet zomaar 'bricken'.. Het gaat hier om een worm die apparaten echt onbruikbaar maakt, ook dat ze daarna niet meer simpel te fixen zijn.
ShadowBumble @SuperDre19 april 2017 13:42
Als ik vind dat jij een gevaar bent (omdat je bv altijd achter het stuur met een smartphone zit of alcohol) ga ik jou toch ook niet zomaar 'bricken'..
Algemene opinie zou het toch compleet verantwoord vinden als iemand je aan de kant zet (just a white hat, securing some systems') de auto sleutels afpakt (poorten met nummers 23, 7547, 5555, en 5358 te sluiten) en de politie belt (bericht in de terminal van een geïnfecteerd systeem toont).

Voor beide moet je wel de moeite moet doen om zorg te dragen voor je mede weggebruikers(systemen).

(De intentie van HAJIME blijft toch nog onduidelijk, maar ja ik kan je auto ook aan de kant zetten voor een carjack)

[Reactie gewijzigd door ShadowBumble op 26 juli 2024 16:49]

Keneo @SuperDre19 april 2017 13:43
Heb je het artikel wel gelezen? Dit artikel gaat over de niewe Hajime mot, dewelke poorten sluit en apparaten veiliger maakt. Bovenstaande reactie gaat dus waarschijnlijk niet over BrickerBot, dewelke apparaten bricked.
computerjunky @Keneo19 april 2017 16:44
En wat als het apparaat nou net op die poorten functioneert.
Dan sloop je dus een apparaat en is het schadelijk.

Goede of slechte bedoelingen je blijft gewoon van andermans spullen af.
Overlord2305 @SuperDre19 april 2017 14:15
Klopt, maar zo als de Haijme-malware hier wordt beschreven gaat het niet echt om het bricken van de apparaten (als mijn definitie van bricken klopt dan), eerder het tijdelijk beveiligen / probeeren aan te moedigen om een ander wachtwoord in te stellen.
CivLord @WhatsappHack19 april 2017 13:41
Het probleem is dat anderen een extra module aan de 'goedaardige' worm kan plakken om het zo 'kwaadaardig' te maken.

Beter is om de 'vaccinatie' via de leverancier, fabrikant en betrouwbare tech-sites beschikbaar te stellen.
M.l. @CivLord19 april 2017 14:19
Dat is ook beter maar dat is nou precies het probleem.

De updates moeten eerst maar eens gemaakt worden en daarna nog geïnstalleerd. Dit zouden fabrikanten in de toekomst vanaf het begin beter kunnen doen maar de situatie is nu zo dat er gewoon veel te veel apparaten open en bloot aangesloten zijn.
i-chat @M.l.19 april 2017 15:51
sterker nog het gebeurt niet eens, in dat opzicht zou het zelfs goed zijn als hij de firmware zo wist aan te passen dat...
er A minder poorten open staan (ook na een reboot),
dat er B: actief naar gegebruiker (dus niet alleen via de terminal) toe berichten worden gestuurd waarin het systeem meld dat het ding onveilig is en gehacked is / kan worden en hij/zij de OEM op een firmware upgrade moet vragen.
C dat hij de software zo aanpast dat er geen kwaadaardige modules kunnen worden geladen

[Reactie gewijzigd door i-chat op 26 juli 2024 16:49]

0xygen500 @WhatsappHack19 april 2017 15:54
Wat is het risico dat een worm veroorzaakt?
WhatsappHack
@0xygen50019 april 2017 22:17
Dat ie goedaardig lijkt, maar later toch zooi aan toegevoegd wordt. Andere backdoors openen, etc. Dan is 't helemaal een probleem als men die worm "vertrouwt" en anti-malware maatregelen het z'n gang laten gaan.

[Reactie gewijzigd door WhatsappHack op 26 juli 2024 16:49]

Overlord2305 19 april 2017 13:33
Goed zo. Gaan mensen hier over klagen?
Maar uiteindelijk helpt het wel met het voorkomen van grootschalige DDOS aanvallen, en dat is na mijn idee iets belangrijker dan dat willempje zijn smart fridge even een stukje functionaliteit kwijt is.

[Reactie gewijzigd door Overlord2305 op 26 juli 2024 16:49]

Vizzie @Overlord230519 april 2017 15:52
Totdat het jouw smart ding is, dan is het niet leuk meer. Blijf gewoon van andermans zooi af, ongeacht je goede bedoelingen.
Overlord2305 @Vizzie1 mei 2017 09:19
Als mijn 'smart ding' gebruikt word om te ddosen etc dan mag hier natuurlijk actie tegen worden ondernomen. Als er met jou eigendom een misdaad of misdrijf word gepleegd wat alleen heeft kunnen gebeuren omdat jij je zooi niet voor elkaar hebt word je daar ok op aangesproken, of erger.
Vizzie @Overlord23051 mei 2017 12:30
Dit gaat om een ding dat gebruikt zou kunnen worden voor iets slechts. Niet iets dat ervoor wordt gebruikt. Belangrijk verschil.

En als er geen veilige frimware voor je smart ding bestaat kan je je zaakjes niet eens op orde hebben.

Niemand heeft deze Pipo aangesteld of gevraagd dit probleem zo op te lossen. Laat hij dus maar gewoon van andermans spullen afblijven of een andere manier zoeken om mensen bewust te maken van de gebrekkige beveiliging van hun smart apparaten.
Overlord2305 @Vizzie1 mei 2017 13:09
Ok beter voorbeeld dan, als Jou auto de keuring niet haalt mag hij de weg niet op, doe je dit wel dan krijg je een boete omdat je mogelijk een gevaar vormt voor andere weggebruikers. Maar ipv dat je nu meteen vernageld word (boete etc) fixt dit programma het gewoon tijdelijk voor je.
Vizzie @Overlord23051 mei 2017 13:27
Volgens mij snappen we elkaar best maar zijn we het gewoon niet eens :)

Jij vind dit ok omdat het de veiligheid van anderen vergroot en ik vind het niet ok omdat het inbreuk maakt op iemands eigendomsrecht. Da's een afweging die wij ieder voor zich gemaakt hebben, we zijn alleen op een ander resultaat uitgekomen.

APK is overigens een wettelijke verplichting waarmee de fysieke veiligheid van je medeweggebruikers is gediend. Hebben we samen afgesproken en handhavers voor aangesteld. Helemaal goed als een niet APK gekeurde auto door de handhavers van de weg wordt gehaald.

Voor smart apparaten hebben we geen afspraken en geen officiële handhavers. Dat geeft naar mijn mening niet een random iemand het recht zelf wat te verzinnen.

Agree to disagree dan maar? :)
Verwijderd 19 april 2017 13:35
Dus zometeen hebben we een soort van malware oorlog op het internet waar de goede malware de slechte malware probeert te bestrijden. Dan gaat dus de slechte malware weer muteren of de goede malware bestrijden en dan begint het circus opnieuw...

Great idea 8)7 .
n.ottens @Verwijderd19 april 2017 13:43
zo is natoer ..... en zo is evolutie, alleen het feit dat ook deze malware aangestuurd zou kunnen worden om ddos uit te voeren is wat minder.
rjberg @n.ottens19 april 2017 14:45
Evolueerende computers!? Het begin van de robot revolutie is hier! red jezelf! :-)

[Reactie gewijzigd door rjberg op 26 juli 2024 16:49]

Raymond Deen 19 april 2017 13:36
Dergelijke onveilige IOT apparatuur is gewoon legaal verkoopbaar in niiet alleen Nederland, maar in grote delen van de wereld.
Wanneer wordt het gewoon een afkeurpunt van dit soort spullen zodat het een verantwoordelijkheid van de leverancier wordt?

De onwetende gebruiker denkt al snel bij een speciaal webadres en in te vullen pincode dat z'n beelden van de thuis-cam die hijoveral kan bekijken gewoon veilig zijn en dan is dit nog een relatief veilig voorbeeld...
HarryL 19 april 2017 14:25
Krijg een beetje het "Fight fire with fire!" idee.
Ik vind het wel goed dat dit gedaan wordt.
Alleen het risico dat er een stukje bij aangeplakt kan worden en daar dus wel weer aanvallen mee gedaan kunnen worden...
Dat staat weer haaks op waar het voor gemaakt is....
Het is en blijft dus discutabel.
SuperDre 19 april 2017 13:33
Sorry hoor, maar zodra het een apparaat onklaar maakt dan is het gewoon pure malware, niets goedsaardig aan.
Chezzo @SuperDre19 april 2017 13:53
BrickerBot maakt het geïnfecteerde apparaat onbruikbaar. Hajime, waar dit artikel over gaat, probeert het apparaat juist te beschermen tegen Mirai.
Verwijderd 19 april 2017 13:49
Een IoT aparaat met een "terminal"? Da's nieuw.
thedicemaster @Verwijderd19 april 2017 15:29
ik denk dan aan een command line interface(telnet?), of het scherm van een slimme thermostaat.
die eerste zal helaas alleen effect hebben op mensen die vaak slim genoeg zijn om hun systeem te beveiligen.
Bastian1 @roches19 april 2017 13:19
Voor luie tweakers (edit: die geen Japans kunnen lezen en tóch even snel een vertaling willen), Google translate: "Hajime" is ook gebruikt in het judo ;)

URL Wikipedia artikel is zojuist geplaatst door Eidos hieronder


We blijven hierbij uiteraard echt zo verschrikkelijk on-topic!
(sarcasme ;) )

[Reactie gewijzigd door Bastian1 op 26 juli 2024 16:49]

Elidos @Bastian119 april 2017 13:23
https://en.wikipedia.org/wiki/Hajime

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq