Demonbot

Demonbot ist der Name eines Botnetzes und einer Malware, mit der Internet of Things (IoT) -Geräte infiziert werden. Der zugrunde liegende Code der Bedrohung basiert auf dem Mirai Botnet, einem Trojaner, der IoT-Geräte infiziert, deren Quellcode bereits 2016 online veröffentlicht wurde.

Demonbot durchsucht das Web nach Geräten, die geeignet sind, und nutzt die Hadoop-Sicherheitsanfälligkeit, um diese zu gefährden. In der Praxis nutzt die Malware eine nicht authentifizierte Sicherheitsanfälligkeit bezüglich Remotecodeausführung im YARN-Modul (Yet Another Resource Negotiator) aus. Dieses spezielle Modul wurde von Organisationen hauptsächlich für die Jobplanung und das Clusterressourcenmanagement verwendet.

Während Demonbot seit einiger Zeit öffentlich bekannt ist, scheinen sich einige Cyberkriminelle immer noch wegen ihrer bedrohlichen Aktivitäten an ihn zu wenden. In der Tat wurde kürzlich ein Angriff auf IoT-Geräte beobachtet, bei dem eine Demonbot-Variante neben einer anderen von Scarface entwickelten Mirai Botnet-Variante eingesetzt wurde. Die Kampagne zielt auf einen einzelnen Port ab - 60001, während mehrere andere Ports als Ablenkung oder Köder verwendet werden. Laut den Forschern ist 60001 ein weit verbreiteter Port unter IoT-Geräten, wobei die Mehrheit die Defeway-Kameras sind, die über 90% aller Kameras an diesem Port ausmachen.