Malware Amnesia bildet IoT/Linux-Botnet

Die Schadsoftware erkennt und löscht virtuelle Maschinen, um Entdeckung und Analyse durch Sicherheitsforscher zu vermeiden. Zuerst entdeckt wurde sie auf digitalen Videorekordern. Sicherheitsforscher befürchten ähnlich umfangreiche DDoS-Attacken wie durch Mirai-Botnets.

Die Malware Amnesia setzt eine neue Technik ein, um einer Entdeckung zu entgehen. Die Sicherheitsfirma Palo Alto Networks sieht sie als erste Linux-Malware, die virtuelle Maschinen erkennen und löschen kann. Das soll sich gegen von Sicherheitsforschern eingerichtete Sandboxes mit Analysewerkzeugen richten. Die Malware löscht sich außerdem selbst, um keine weiteren Spuren zu hinterlassen.

Malware (Bild: Maksim Kabakou/Shutterstock)

Solche Methoden zur Umgehung virtueller Maschinen waren bislang von Schadsoftware für Microsoft Windows und Googles Android bekannt. Ähnlich wie diese versucht Amnesia herauszufinden, ob sie in einer virtuellen Maschine läuft, die auf VirtualBox, VMware oder QEMU läuft. Erkennt sie eine solche, löscht sie alle Dateien im Dateisystem eines virtalisierten Linux. Davon betroffen sind nicht nur Sandboxen zur Analyse von Linux-Malware, sondern einige QUEMU-basierte Linux-Server in VPS- oder Public-Cloud-Umgebungen – auch hier droht eine vollständige Löschung.

Laut Palo Alto handelt es sich bei Amnesia um eine Variante der Linux-Malware Tsunami, die gleichnamige IoT/Linux-Botnets schaffen kann. Das demonstrierte vor einem Jahr ein Hacker , indem er Tsunami in ISO-Dateien von Linux Mint einbaute und über die Website dieser Linux-Distribution verteilte.

Entdeckt wurde Amnesia auf digitalen Videorekordern mit einer Sicherheitslücke, die schon vor einem Jahr bekannt – aber offenbar noch immer nicht behoben wurde. Wie die Sicherheitsforscher herausfanden, weisen rund 227.000 Geräte diese Schwachstelle auf. Diese stammen zwar alle von einem Hersteller namens TVT Digital, wurden aber unter verschiedensten Marken weltweit von über 70 Anbietern verkauft.

Nicht die für Angriffe anfälligen Videorekorder sind dabei der interessanteste Aspekt. Es ist vielmehr ein weiterer Beleg für die Anfälligkeit von vernetzten Geräten im Internet der Dinge (Internet of Things, IoT), bei denen es sich nicht um herkömmliche IT-Systeme handeln muss.

Die neuartige Malware sucht aktiv nach anfälligen Systemen, um sie durch Remotecodeausführung vollständig zu übernehmen. Wie bei Tsunami kann ein entstehendes Botnet für Denial-of-Service-Angriffe genutzt werden. Palo Alto hält ähnlich breit angelegte DDoS-Attacken wie durch Mirai-Botnets für möglich.

Themenseiten: Internet of Things, Linux, Malware, Palo Alto, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Malware Amnesia bildet IoT/Linux-Botnet

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *