KrebsOnSecurity mal wieder...Aisuru (auch bekannt als „ Airashi “) - Botnet...

KrebsOnSecurity mit nahezu rekordverdächtigem 6,3 Tbps DDoS-Angriff konfrontiert!

KrebsOnSecurity wurde letzte Woche von einem nahezu rekordverdächtigen Distributed-Denial-of-Service-Angriff (DDoS) getroffen, der mehr als 6,3 Terabit Daten pro Sekunde (ein Terabit entspricht einer Billion Datenbits) umfasste. Der kurze Angriff war offenbar ein Testlauf für ein riesiges neues Botnetz für das Internet der Dinge (IoT), das lähmende digitale Angriffe starten kann, denen nur wenige Websites standhalten können. Lesen Sie weiter, um mehr über das Botnetz, den Angriff und den mutmaßlichen Urheber dieser globalen Bedrohung zu erfahren.
Zum Vergleich: Der 6,3-Tbit/s-Angriff letzte Woche war zehnmal so groß wie der Angriff des Mirai- IoT-Botnetzes auf diese Site im Jahr 2016, der KrebsOnSecurity fast vier Tage lang offline hielt . Der Angriff von 2016 war so groß, dass Akamai – das damals kostenlosen DDoS-Schutz für KrebsOnSecurity bereitstellte – mich bat, ihren Dienst zu verlassen, da der Angriff Probleme für ihre zahlenden Kunden verursachte.

Seit dem Mirai-Angriff steht KrebsOnSecurity.com hinter dem Schutz von Project Shield , einem kostenlosen DDoS-Abwehrdienst, den Google Websites mit Nachrichten, Menschenrechts- und wahlbezogenen Inhalten zur Verfügung stellt. Google-Sicherheitsingenieur Damian Menscher erklärte gegenüber KrebsOnSecurity, der Angriff vom 12. Mai sei der größte gewesen, den Google je abgewehrt habe. In Bezug auf die schiere Größe ist er nur einem sehr ähnlichen Angriff unterlegen, den Cloudflare abgeschwächt und über den im April berichtet wurde. Nach einem Erfahrungsaustausch mit Cloudflare erklärte Menscher, das Botnetz, das beide Angriffe startete, trage die Fingerabdrücke von Aisuru , einer digitalen Belagerungsmaschine, die vor weniger als einem Jahr erstmals auftauchte.

Das Aisuru-Botnetz besteht aus einer weltweit verteilten Sammlung gehackter IoT-Geräte, darunter Router, digitale Videorekorder und andere Systeme, die über Standardkennwörter oder Software-Schwachstellen kompromittiert werden. Wie dokumentierten Forscher des QiAnXin XLab , wurde das Botnetz erstmals bei einem Angriff auf eine große Gaming-Plattform im August 2024 entdeckt.

DER GEIST VON MIRAI

Der 6,3-Tbit/s-Angriff letzte Woche verursachte keine sichtbaren Störungen auf dieser Website, unter anderem weil er nur etwa 45 Sekunden dauerte. DDoS-Angriffe dieses Ausmaßes und dieser Kürze werden typischerweise durchgeführt, wenn Botnetzbetreiber ihre Schlagkraft zum Nutzen potenzieller Käufer testen oder demonstrieren wollen. Laut Menscher von Google handelte es sich sowohl beim Angriff vom 12. Mai als auch beim etwas größeren 6,5-Tbit/s-Angriff auf Cloudflare im letzten Monat wahrscheinlich lediglich um Tests der Fähigkeiten desselben Botnetzes.

Hier einmal die ersten Analysen zu dem neuen Botnet:

https://blog.xlab.qianxin.com/large-scale-botnet-airashi-en/

In vielerlei Hinsicht erinnert die Bedrohung durch das Aisuru/Airashi-Botnetz an Mirai, einen innovativen IoT-Malware-Typ, der im Sommer 2016 auftauchte und praktisch alle anderen damals existierenden IoT-Malware-Typen erfolgreich aus dem Rennen schlug.

https://krebsonsecurity.com/2025/05/krebsonsecurity-hit-with-near-record-6-3-tbps-ddos/

Updates zum AISURU / AIRASHI - Botnet (Mai 2025):

Fakt ist erstmal die immense Größe seiner Struktur! Selbst jetzt bei den letzten Konfigurationstests hat die Infrastruktur jetzt schon das ZEHNFACHE der Größe erreicht, wie MIRAI in seinen besten Zeiten!!

Nach der Enttarnung von AISURU stellte der Schädling seine Aktivitäten im September 2024 vorübergehend ein, tauchte aber bald aus Profitgründen wieder auf und entwickelte neue Varianten: Kitty im Oktober und AIRASHI Ende November 2024. Die Botnetzbetreiber hinterließen wiederholt Nachrichten in den Samples, um mit uns zu interagieren. Nachdem sie zuvor behauptet hatten, Macarena von XLab gelernt zu haben, schickten sie uns nun eine Einladung, in den neuen Varianten Conga zu tanzen. Die folgende Analyse konzentriert sich auf die neuen Varianten Kitty und AIRASHI. Tanzen wir los!

Das aktuelle AIRASHI-Botnetz weist die folgenden Hauptmerkmale auf:

  • Nutzt eine Zero-Day-Sicherheitslücke (0day) von cnPilot-Routern, um Samples zu verbreiten.
  • Beispielzeichenfolgen werden mit RC4 verschlüsselt, während das CNC-Kommunikationsprotokoll eine HMAC-SHA256-Verifizierung hinzugefügt hat und die ChaCha20-Verschlüsselung verwendet.
  • CNC-Domänennamen enthalten Schlüsselwörter wie „xlabresearch“, „xlabsecurity“ und „foxthreatnointel“, die sich über XLab und Sicherheitsforscher lustig machen.
  • Stabile DDoS-Angriffsfähigkeiten auf T-Niveau.
  • Umfangreiche IP-Ressourcen für die Command-and-Control-Seite (CNC) mit fast 60 IPs aus Domänen, verteilt auf verschiedene Volkswirtschaften und Dienstanbieter. Dies soll möglicherweise mehr Bot-Endpunkte aufnehmen und die Zerschlagung des Botnetzes erschweren. Abbildung 1 zeigt die passiven DNS-Einträge von AIRASHI CNC xlabsecurity.ru . Sie zeigt, dass die CNC-Domäne xlabsecurity.ru einst in 144 IPs aufgelöst wurde, verteilt auf 19 Volkswirtschaften und 10 Autonome Systemnummern (ASNs).

Details zur Nutzung

Mithilfe des umfassenden Bedrohungserkennungssystems von XLab konnten wir feststellen, dass sich AIRASHI-Samples hauptsächlich über NDAY-Schwachstellen und schwache TELNET-Passwörter verbreiten und gleichzeitig auch Zero-Day-Schwachstellen ausnutzen können. Seit Juni letzten Jahres beobachten wir, wie AIRASHI eine Zero-Day-Schwachstelle in cnPilot-Routern zur Verbreitung seiner Samples ausnutzt. Bezüglich dieser Zero-Day-Schwachstelle kontaktierten wir im Juni letzten Jahres den Hersteller, erhielten jedoch keine Antwort. Um Missbrauch zu verhindern, werden in diesem Artikel keine detaillierten Informationen zu dieser Schwachstelle veröffentlicht.

DDoS-Fähigkeiten und -Aktivität:

DDoS-Funktionen

Botnetzbetreiber präsentieren ihre Angriffsfähigkeiten häufig über Social-Media-Plattformen wie Telegram, Discord oder Foren, um potenzielle Kunden zu gewinnen oder Konkurrenten einzuschüchtern. Um die Angriffsfähigkeiten ihrer Botnetze zu beweisen, nutzen manche Betreiber zur Validierung Botnetz-Angriffsmessdienste von Drittanbietern. Sie richten ihre Botnetze auf Angriffsserver dieser Messdienste. Die Messdienste erfassen und analysieren dann Informationen wie die Größe des Angriffsverkehrs, Paketraten, geografische Standorte der Angriffsquellen, ASNs und Angriffsmethoden. Nach Erhalt dieser Statistiken veröffentlichen die Botnetzbetreiber diese auf ihren Social-Media-Plattformen, um die Leistungsfähigkeit ihrer Botnetze zu demonstrieren.

Das AIRASHI-Botnetz nutzt genau diese Methode, um seine Angriffsfähigkeit unter Beweis zu stellen. Abbildung 2 zeigt eine Demonstration seiner Angriffsfähigkeit:

Die auf dem Bild angezeigten Statistiken lauten wie folgt:

  • Aktueller Angriffsspitzenwert: 3,11 Tbit/s (270,52 Mpps).
  • Testbenutzer-ID: 66XXXXXXXX (Diese ID entspricht dem Telegrammkanaladministrator des AIRASHI-Botnetzes).
  • Zuletzt aktualisiert: 13.01.2025, 20:20:04 UTC.
  • Angriffsquelle: Brasilien – 30,01 %, Russische Föderation – 24,51 %, Vietnam – 22,79 %, Indonesien – 22,7 %.

Der Betreiber von AIRASHI hat die Ergebnisse seiner DDoS-Fähigkeitstests auf Telegram veröffentlicht. Historische Daten zeigen, dass die Angriffskapazität des AIRASHI-Botnetzes stabil bei etwa 1–3 Tbit/s liegt.

DDoS-Aktivitäten

Die Angriffsziele des AIRASHI-Botnetzes verteilen sich weltweit auf verschiedene Branchen, wobei die Hauptziele in Regionen wie China, den USA, Polen und Russland liegen. Es gibt keine klare, wirksame Angriffsstrategie. Das Botnetz greift typischerweise täglich mehrere hundert Ziele an.

Probenanalyse

Das AIRASHI-Botnetz wird häufig aktualisiert und ist in mehreren Versionen verfügbar. Einige Versionen unterstützen neben der DDoS-Hauptfunktionalität und der Ausführung von Betriebssystembefehlen auch Proxy-Dienste. Die folgende Analyse konzentriert sich auf Kitty und AIRASHI und untersucht technische Details des Botnetzes unter anderem hinsichtlich String-Entschlüsselung, C2-Abruf, Kommunikationsprotokollen und unterstützten Befehlen.

Derzeit wurden drei Arten von AIRASHI-Proben entdeckt:

  1. AIRASHI-DDoS: Dieses Sample wurde erstmals Ende Oktober 2024 identifiziert und konzentriert sich hauptsächlich auf DDoS-Angriffe, ermöglicht aber auch die Ausführung beliebiger Befehle und den umgekehrten Shell-Zugriff.
  2. Go-Proxisdk: Erstmals Ende November 2024 entdeckt, ist dies ein Proxy-Tool basierend auf Muxado, geschrieben in Go.
  3. AIRASHI-Proxy: Erstmals Anfang Dezember 2024 identifiziert. Dies ist eine stark modifizierte Version des AIRASHI-DDoS-Quellcodes, die ein privates Protokoll zur Implementierung der Proxy-Funktionalität verwendet.

AIRASHI weist einige Ähnlichkeiten mit AISURU auf. Während Kitty eine vereinfachte Version von AISURU ist, scheint AIRASHI eine verbesserte Version zu sein. Seit Oktober 2024 wird es kontinuierlich aktualisiert. Nach der Entwicklung des einfachen Go-Proxisdk wurde das benutzerdefinierte Protokoll-Proxy-Tool AIRASHI-Proxy entwickelt, das auf den Versuch hindeutet, uns mit völlig neuen Funktionen zu überraschen.