Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Hajime-malware is een poging om uitbreiding Mirai-botnet te voorkomen'

Door , 35 reacties

Beveiligingsbedrijf Symantec heeft een analyse gepubliceerd van de Hajime-malware, die zich op onveilige iot-apparaten richt. Daaruit blijkt dat het niet om een kwaadwillende variant als Mirai gaat, maar dat Hajime bedoeld lijkt te zijn om de verspreiding van Mirai te verhinderen.

De Hajime-malware werd in oktober 2016 ontdekt door het beveiligingsbedrijf Rapidity. Dat gebeurde kort nadat de broncode van de Mirai-malware online verschenen was, wat het ontstaan van verschillende varianten tot gevolg had. Destijds schreef het bedrijf dat het doel van Hajime 'een mysterie' was, omdat de variant geen module bevatte om kwaadaardige acties uit te voeren, zoals een ddos-aanval. Symantec schrijft dat dit nu nog steeds het geval is, maar dat de software ook een bericht in de terminal van een geïnfecteerd systeem toont.

Daarin staat de tekst 'just a white hat, securing some systems', waardoor de indruk wordt gewekt dat het om een 'ethische' hacker gaat die niet uit is op het veroorzaken van schade. De mededeling is voorzien van een digitale handtekening, waardoor het volgens Symantec aannemelijk is dat deze daadwerkelijk afkomstig is van de auteur van Hajime. De ogenschijnlijk 'goedaardige' malware kan echter naderhand alsnog voorzien worden van ddos-mogelijkheden, waardoor het moeilijk in te schatten is of de auteur daadwerkelijk goede bedoelingen heeft.

Er zijn echter aanvullende aanwijzingen die deze theorie ondersteunen. Zo schrijft de Symantec-onderzoeker dat Hajime geïnfecteerde apparaten veiliger maakt door poorten met nummers 23, 7547, 5555, en 5358 te sluiten. Deze worden voor een deel gebruikt voor de verspreiding van de Mirai-malware. De malware voert geen aanpassing van de firmware door, waardoor de aangepaste instellingen na een herstart weer ongedaan worden gemaakt en het apparaat opnieuw doelwit wordt voor iot-malware.

Er zijn verschillen en overeenkomsten tussen Hajime en Mirai. Zo verspreidt Hajime zich via onveilige apparaten met een open Telnet-poort en standaardaccounts. De malware gebruikt dezelfde combinaties van gebruikersnaam en wachtwoord als Mirai, in aanvulling op twee andere combinaties. Het verschil is dat Hajime gebruikmaakt van een decentraal netwerk, terwijl Mirai verbinding maakt met een enkele c2-server. Bovendien probeert de malware verborgen te blijven.

Volgens Symantec heeft Hajime zich in de afgelopen maanden snel verspreid. De malware zou inmiddels 'tienduizenden' apparaten hebben geïnfecteerd, met name in Brazilië en Iran. Hajime is niet de eerste malwarevariant die een 'goedaardig' doel lijkt te dienen. Zo ontwikkelde onderzoeker Jerry Gamblin in oktober een worm die Telnet-inloggegevens wijzigde van kwetsbare iot-apparaten. Na kritiek beëindigde hij zijn project echter. Het verspreiden van een worm brengt apparaten in gevaar en is bovendien onethisch en soms illegaal, vinden critici. Een soortgelijke variant is BrickerBot, die recentelijk opdook. Deze malware maakt kwetsbare iot-apparaten nagenoeg onbruikbaar.

De Mirai-malware en varianten daarvan worden gebruikt om botnets te maken van verschillende iot-apparaten. Vaak gaat het om ip-camera's en digitale videorecorders. Samen zijn deze apparaten in staat om krachtige ddos-aanvallen uit te voeren, zoals op dns-provider Dyn. De verwachting was dat er dit jaar nog meer grote ddos-aanvallen zouden plaatsvinden, maar dat is tot nu toe niet gebeurd. Het woord 'mirai' betekent 'toekomst' in het Japans; 'hajime' betekent 'begin'.

Door Sander van Voorst

Nieuwsredacteur

19-04-2017 • 13:01

35 Linkedin Google+

Reacties (35)

Wijzig sortering
"Het verspreiden van een worm brengt apparaten in gevaar en is bovendien onethisch en soms illegaal, vinden critici."

Dat is zo. Maar als mensen, bedrijven en ontwikkelaars zelf steeds niets doen aan de beveiliging van hun apparaten, dan is t toch de vraag wat een groter probleem is... Een worm die de gaten dicht, of de apparaten kwetsbaar laten en zo weer anderen infecteren of grote ddos aanvallen uitvoeren. Wat dat betreft zal zo'n "goedaardige worm" meer problemen oplossen dan veroorzaken. Al blijft het illegaal, discutabel en nogal een risico... Lastige situatie. :)
Als er al een reden is om te twijfelen of deze worm wel of niet schadelijk is dan is het wel het feit dat naast het sluiten van poorten, er ook een nieuwe backdoor geopend wordt die toegang tot de apparaten verschaffen kan.

Bron: https://www.symantec.com/...i-control-internet-things
'Waar rook is, is vuur' ik zeg liever 'waar rook is, is de brandweer' je kan met deze redenatie alles en iedereen wantrouwen, de brandweer kan ook je deur openbreken als je op je werk zit...
Dit is eerder een geval van de sleutelmaker zet een nieuw slot in de deur maar houdt vervolgens zelf een loper waarmee hij nog naar binnen kan komen.
tja, ipv beslissen om iemand anders zijn 'systeem' te bricken kun je ook kiezen om te kijken naar een methode om te zorgen dat het apparaat wel veilig is.. Als ik vind dat jij een gevaar bent (omdat je bv altijd achter het stuur met een smartphone zit of alcohol) ga ik jou toch ook niet zomaar 'bricken'.. Het gaat hier om een worm die apparaten echt onbruikbaar maakt, ook dat ze daarna niet meer simpel te fixen zijn.
Als ik vind dat jij een gevaar bent (omdat je bv altijd achter het stuur met een smartphone zit of alcohol) ga ik jou toch ook niet zomaar 'bricken'..
Algemene opinie zou het toch compleet verantwoord vinden als iemand je aan de kant zet (just a white hat, securing some systems') de auto sleutels afpakt (poorten met nummers 23, 7547, 5555, en 5358 te sluiten) en de politie belt (bericht in de terminal van een ge´nfecteerd systeem toont).

Voor beide moet je wel de moeite moet doen om zorg te dragen voor je mede weggebruikers(systemen).

(De intentie van HAJIME blijft toch nog onduidelijk, maar ja ik kan je auto ook aan de kant zetten voor een carjack)

[Reactie gewijzigd door ShadowBumble op 19 april 2017 13:46]

Heb je het artikel wel gelezen? Dit artikel gaat over de niewe Hajime mot, dewelke poorten sluit en apparaten veiliger maakt. Bovenstaande reactie gaat dus waarschijnlijk niet over BrickerBot, dewelke apparaten bricked.
En wat als het apparaat nou net op die poorten functioneert.
Dan sloop je dus een apparaat en is het schadelijk.

Goede of slechte bedoelingen je blijft gewoon van andermans spullen af.
Klopt, maar zo als de Haijme-malware hier wordt beschreven gaat het niet echt om het bricken van de apparaten (als mijn definitie van bricken klopt dan), eerder het tijdelijk beveiligen / probeeren aan te moedigen om een ander wachtwoord in te stellen.
Het probleem is dat anderen een extra module aan de 'goedaardige' worm kan plakken om het zo 'kwaadaardig' te maken.

Beter is om de 'vaccinatie' via de leverancier, fabrikant en betrouwbare tech-sites beschikbaar te stellen.
Dat is ook beter maar dat is nou precies het probleem.

De updates moeten eerst maar eens gemaakt worden en daarna nog ge´nstalleerd. Dit zouden fabrikanten in de toekomst vanaf het begin beter kunnen doen maar de situatie is nu zo dat er gewoon veel te veel apparaten open en bloot aangesloten zijn.
sterker nog het gebeurt niet eens, in dat opzicht zou het zelfs goed zijn als hij de firmware zo wist aan te passen dat...
er A minder poorten open staan (ook na een reboot),
dat er B: actief naar gegebruiker (dus niet alleen via de terminal) toe berichten worden gestuurd waarin het systeem meld dat het ding onveilig is en gehacked is / kan worden en hij/zij de OEM op een firmware upgrade moet vragen.
C dat hij de software zo aanpast dat er geen kwaadaardige modules kunnen worden geladen

[Reactie gewijzigd door i-chat op 19 april 2017 15:51]

Wat is het risico dat een worm veroorzaakt?
Dat ie goedaardig lijkt, maar later toch zooi aan toegevoegd wordt. Andere backdoors openen, etc. Dan is 't helemaal een probleem als men die worm "vertrouwt" en anti-malware maatregelen het z'n gang laten gaan.

[Reactie gewijzigd door WhatsappHack op 19 april 2017 22:17]

Goed zo. Gaan mensen hier over klagen?
Maar uiteindelijk helpt het wel met het voorkomen van grootschalige DDOS aanvallen, en dat is na mijn idee iets belangrijker dan dat willempje zijn smart fridge even een stukje functionaliteit kwijt is.

[Reactie gewijzigd door Overlord2305 op 19 april 2017 13:34]

Totdat het jouw smart ding is, dan is het niet leuk meer. Blijf gewoon van andermans zooi af, ongeacht je goede bedoelingen.
Als mijn 'smart ding' gebruikt word om te ddosen etc dan mag hier natuurlijk actie tegen worden ondernomen. Als er met jou eigendom een misdaad of misdrijf word gepleegd wat alleen heeft kunnen gebeuren omdat jij je zooi niet voor elkaar hebt word je daar ok op aangesproken, of erger.
Dit gaat om een ding dat gebruikt zou kunnen worden voor iets slechts. Niet iets dat ervoor wordt gebruikt. Belangrijk verschil.

En als er geen veilige frimware voor je smart ding bestaat kan je je zaakjes niet eens op orde hebben.

Niemand heeft deze Pipo aangesteld of gevraagd dit probleem zo op te lossen. Laat hij dus maar gewoon van andermans spullen afblijven of een andere manier zoeken om mensen bewust te maken van de gebrekkige beveiliging van hun smart apparaten.
Ok beter voorbeeld dan, als Jou auto de keuring niet haalt mag hij de weg niet op, doe je dit wel dan krijg je een boete omdat je mogelijk een gevaar vormt voor andere weggebruikers. Maar ipv dat je nu meteen vernageld word (boete etc) fixt dit programma het gewoon tijdelijk voor je.
Volgens mij snappen we elkaar best maar zijn we het gewoon niet eens :)

Jij vind dit ok omdat het de veiligheid van anderen vergroot en ik vind het niet ok omdat het inbreuk maakt op iemands eigendomsrecht. Da's een afweging die wij ieder voor zich gemaakt hebben, we zijn alleen op een ander resultaat uitgekomen.

APK is overigens een wettelijke verplichting waarmee de fysieke veiligheid van je medeweggebruikers is gediend. Hebben we samen afgesproken en handhavers voor aangesteld. Helemaal goed als een niet APK gekeurde auto door de handhavers van de weg wordt gehaald.

Voor smart apparaten hebben we geen afspraken en geen officiŰle handhavers. Dat geeft naar mijn mening niet een random iemand het recht zelf wat te verzinnen.

Agree to disagree dan maar? :)
Dus zometeen hebben we een soort van malware oorlog op het internet waar de goede malware de slechte malware probeert te bestrijden. Dan gaat dus de slechte malware weer muteren of de goede malware bestrijden en dan begint het circus opnieuw...

Great idea 8)7 .
zo is natoer ..... en zo is evolutie, alleen het feit dat ook deze malware aangestuurd zou kunnen worden om ddos uit te voeren is wat minder.
Evolueerende computers!? Het begin van de robot revolutie is hier! red jezelf! :-)

[Reactie gewijzigd door rjberg op 19 april 2017 14:45]

Dergelijke onveilige IOT apparatuur is gewoon legaal verkoopbaar in niiet alleen Nederland, maar in grote delen van de wereld.
Wanneer wordt het gewoon een afkeurpunt van dit soort spullen zodat het een verantwoordelijkheid van de leverancier wordt?

De onwetende gebruiker denkt al snel bij een speciaal webadres en in te vullen pincode dat z'n beelden van de thuis-cam die hijoveral kan bekijken gewoon veilig zijn en dan is dit nog een relatief veilig voorbeeld...
Krijg een beetje het "Fight fire with fire!" idee.
Ik vind het wel goed dat dit gedaan wordt.
Alleen het risico dat er een stukje bij aangeplakt kan worden en daar dus wel weer aanvallen mee gedaan kunnen worden...
Dat staat weer haaks op waar het voor gemaakt is....
Het is en blijft dus discutabel.
Sorry hoor, maar zodra het een apparaat onklaar maakt dan is het gewoon pure malware, niets goedsaardig aan.
BrickerBot maakt het ge´nfecteerde apparaat onbruikbaar. Hajime, waar dit artikel over gaat, probeert het apparaat juist te beschermen tegen Mirai.
Een IoT aparaat met een "terminal"? Da's nieuw.
ik denk dan aan een command line interface(telnet?), of het scherm van een slimme thermostaat.
die eerste zal helaas alleen effect hebben op mensen die vaak slim genoeg zijn om hun systeem te beveiligen.
Voor luie tweakers (edit: die geen Japans kunnen lezen en tˇch even snel een vertaling willen), Google translate: "Hajime" is ook gebruikt in het judo ;)

URL Wikipedia artikel is zojuist geplaatst door Eidos hieronder


We blijven hierbij uiteraard echt zo verschrikkelijk on-topic!
(sarcasme ;) )

[Reactie gewijzigd door Bastian1 op 19 april 2017 17:23]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*