Mirai arbeitet grundsätzlich wie jedes andere Botnet: es sucht anfällige Produkte, infizierte diese, fügt sie dem eigenen Netzwerk hinzu und nutzt sie anschließend, um Befehle auszuführen. Zwei Dinge fallen allerdings auf: Mirai setzt auf massiven Level-7-Datenverkehr, beispielsweise HTTP-Anfragen. Bislang arbeiteten DDoS-Attacken vor allem mit Datenverkehr auf den OSI-Leveln 3 und 4, sie verwendeten etwa DNS-Amplification-Attacken.
Mirai muss außerdem den Datenverkehr nicht künstlich verstärken, stattdessen sendet eine schiere Masse an Geräten legitim wirkende HTTP-Anfragen. Das klappt deswegen so gut, da Mirai statt klassischen PCs vor allem vernetzte IoT Geräte wie z.B. Videorekorder, TVs oder Kameras infiziert.
Da bei Preisen wie etwa 20 US-Dollar für vernetze Kameras nicht auszugehen ist, dass der Hersteller viel in Sicherheit investiert, ist der Nachschub für Botnets wie Mirai oder Bashlight gesichert. ;-)
Die Betreiber von Anti-DDoS-Diensten und großen Webseiten müssen sich also darauf einstellen, dass künftig Angriffe auf Layer 7 auch mit einem Volumen im Terabit Bereich verstärkt auftreten.
Quelle: Security Insider