zurück zur Übersicht

Linux-Angriff

Tux2_bLinux gilt allgemein als eine sicherere Alternative zu Windows. Durch seine immer grösser werdende Popularität hat es allerdings die Aufmerksamkeit von Malware-Autoren auf sich gezogen. AKAMAI machte ende September auf „XOR DDoS“ aufmerksam, eine Malware die Linux PCs für Botnet basierte Distributed Denial of Service (DDoS) Angriffe missbraucht.

Täglich werden mit diesem Botnet bis zu 20 Ziele  mit einem Datenvolumen von 150Gbps und mehr attackiert. Ziele sind laut AKAMAI zumeist asiatische online Gaming Sites. Neu ist diese Malware nicht, entdeckt wurde sie vor ca. einem Jahr von Forschern der „MalwareMust-Die!“-Gruppe. Wie die Forscher genauer ausführen, wird kein 0-Day verwendet um die Linuxsysteme zu kompromietieren, sondern simples „SSH-Password“-Bruteforcing. Wenn es dem Angreifer gelingt, das korrekte Passwort zu finden, wird „Xor.DDoS“ mittels eines Shellskriptes installiert. Nach weiteren Untersuchungen wurde festgestellt, dass der Installationsprozess auf das Ziel-system abgestimmt wird, da noch eine Rootkit-Komponente nachinstalliert wird, um eine Deinstallation zu erschweren. Ziel ist es – wie bei jedem Botnet – ein Netzwerk von infizierten Maschinen aufzubauen, um koordinierte Aktionen durchführen zu können. In diesem Fall, DDoS Angriffe auf  Websites zu starten. Der XOR Teil des Namens der Malware bezieht sich auf die mit XOR verschlüsselte Nutzlast. Darüber hinaus ist diese Malware in der Lage auch „spoofed traffic“ für einen Angriff zu erzeugen, was der An-greifer wiederum dafür verwenden kann, um festzustellen welcher der Rechner gespoofte Pakete routen kann. AKAMAI stellte ebenfalls fest, dass die payload der BOTs einzigartig ist in Bezug auf den generierenden Rechner. Diese Tatsache führt dazu, dass Unicast Reverse Path Forwarding (uRPF), was auf den gängi-gen Routern eingeschaltet werden kann, um das routen gespoofter Pakete zu unterbinden, wirkungslos ist.

Die Kernbotschaft die man mitnehmen sollte ist:
Angreifer fokussieren sich nicht mehr zwingend auf Windows Rechner um ihr Botnet zu bauen oder Malware auszubringen. Anwender die Linux Systeme im Einsatz haben sollten sich nicht in der trügerischen Sicherheit wiegen, dass ihre Systeme automatisch sicher sind. Aufgrund dieser lange vorherrschenden Meinung finden sich gerade auch in Unternehmensnetzen sehr viele Linux-Server, die womöglich falsch, fehlerhaft oder mit „default“ Einstellungen installiert wurden. Ein Angreifer freut sich über diese einfach zu kompromittierenden „low hanging fruits“. Neben einer richtigen Konfiguration der Systeme gibt es aber auch noch andere Mittel und Wege um sicher zu gehen, dass nicht trotz aller Vorsichtsmaßnahmen ein System kompromittiert wurde und längst Teil eines Botnets ist. Die iT-CUBE Systems AG bietet umfangreiche professionelle Unterstützung im Bereich Malware- und Advanced-Persistent-Threat-Erkennung und Abwehr. Unser Infiltration Test gibt Ihnen zudem zuverlässig Aufschluss darüber, inwieweit Ihr Netzwerk bereits kompomittiert wurde. Sprechen Sie uns an.


Links:

https://blogs.akamai.com/2015/09/xor-ddos-threat-advisory.html
https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/
http://www.techworm.net/2015/10/linux-malware-xor-ddos-uses-your-linux-pcs-to-mount-ddos-attacks.html
http://blog.malwaremustdie.org/2015/09/mmd-0042-2015-polymorphic-in-elf.html

Bild: ©Wikipedia

Schreibe einen Kommentar