Linux-Rootkit analysiert

10.02.2015

Die Firma FireEye hat einen ausgefeilten DDoS-Wurm analysiert, der sich teilweise als Rootkit auf Linux-Systemen einnistet. 

Unter dem Titel " Anatomy of a Brute Force Campaign: The Story of Hee Thai Limited " hat die Firma FireEye die ausführliche Analyse eines DDoS-Wurms veröffentlicht, der erstmals im September 2014 entdeckt wurde. Zugang zu den angegriffenen Rechnern versucht die Malware sich über eine SSH-Brute-Force-Attacke zu verschaffen, wobei FireEye bei den eigenen Systemen bis zu 20.000 ausprobierte Passwörter pro Rechner registrierte (solchen Angriffen lässt sich beispielsweise durch Fail2ban begegnen). Weil die Angriffe aus einem IP-Adressenblock stammen, der einer gewissen "Hee Thai Limited" gehören, haben die Security-Experten dem Angriff diesen Namen gegeben.

Haben die Angreifer Zugriff auf einen Rechner, dringen sie durch SSH-Remote-Befehle weiter vor, die normalerweise nicht geloggt werden und somit meistens unentdeckt bleiben. Im weiteren Verlauf versucht die Malware die auf dem Rechner laufende Kernel-Version zu ermitteln und auf einem eigenen Server ein dafür passendes Rootkit zu compilieren. Nach erfolgreicher Installation läuft auf dem angegriffenen System die XOR.DDoS-Software, die ferngesteuert Denial-of-Service-Attacken ausführen kann. In der Praxis hat FireEye bisher 42 individuell auf das Zielsystem zugeschnittene Malware-Varianten beobachtet. 

Alternativ oder ergänzend zum Einsatz von Fail2ban empfehlen die Security-Experten den Verzicht auf passwortbasierte SSH-Logins und stattdessen die Verwendung von SSH-Key-Authentifizierung. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

NSA und FBI warnen vor russischem Linux-Rootkit

Die NSA und das FBI haben eine neue für Linux-Rechner designierte, Drovorub genannte Malware identifiziert. Zugleich geben die US-Geheimdienste für das von bekannten russischen Hackern entstammen sollende Rootkit Vorbeuge- und Behandlungs-Tipps.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023