Categories: SicherheitVirus

Malware Amnesia bildet IoT/Linux-Botnet

Die Malware Amnesia setzt eine neue Technik ein, um einer Entdeckung zu entgehen. Die Sicherheitsfirma Palo Alto Networks sieht sie als erste Linux-Malware, die virtuelle Maschinen erkennen und löschen kann. Das soll sich gegen von Sicherheitsforschern eingerichtete Sandboxes mit Analysewerkzeugen richten. Die Malware löscht sich außerdem selbst, um keine weiteren Spuren zu hinterlassen.

Solche Methoden zur Umgehung virtueller Maschinen waren bislang von Schadsoftware für Microsoft Windows und Googles Android bekannt. Ähnlich wie diese versucht Amnesia herauszufinden, ob sie in einer virtuellen Maschine läuft, die auf VirtualBox, VMware oder QEMU läuft. Erkennt sie eine solche, löscht sie alle Dateien im Dateisystem eines virtalisierten Linux. Davon betroffen sind nicht nur Sandboxen zur Analyse von Linux-Malware, sondern einige QUEMU-basierte Linux-Server in VPS- oder Public-Cloud-Umgebungen – auch hier droht eine vollständige Löschung.

Laut Palo Alto handelt es sich bei Amnesia um eine Variante der Linux-Malware Tsunami, die gleichnamige IoT/Linux-Botnets schaffen kann. Das demonstrierte vor einem Jahr ein Hacker , indem er Tsunami in ISO-Dateien von Linux Mint einbaute und über die Website dieser Linux-Distribution verteilte.

Entdeckt wurde Amnesia auf digitalen Videorekordern mit einer Sicherheitslücke, die schon vor einem Jahr bekannt – aber offenbar noch immer nicht behoben wurde. Wie die Sicherheitsforscher herausfanden, weisen rund 227.000 Geräte diese Schwachstelle auf. Diese stammen zwar alle von einem Hersteller namens TVT Digital, wurden aber unter verschiedensten Marken weltweit von über 70 Anbietern verkauft.

Nicht die für Angriffe anfälligen Videorekorder sind dabei der interessanteste Aspekt. Es ist vielmehr ein weiterer Beleg für die Anfälligkeit von vernetzten Geräten im Internet der Dinge (Internet of Things, IoT), bei denen es sich nicht um herkömmliche IT-Systeme handeln muss.

Die neuartige Malware sucht aktiv nach anfälligen Systemen, um sie durch Remotecodeausführung vollständig zu übernehmen. Wie bei Tsunami kann ein entstehendes Botnet für Denial-of-Service-Angriffe genutzt werden. Palo Alto hält ähnlich breit angelegte DDoS-Attacken wie durch Mirai-Botnets für möglich.

Bernd Kling

Recent Posts

Sinequa-Marktbefragung in UK, Frankreich und Deutschland: In punkto DSGVO-Reife hält sich jeder für den Spitzenreiter

Zwei Jahre nach Inkrafttreten der EU-weiten DSGVO-Datenschutzbestimmungen hat der Anbieter kognitiver Such- und Analysesoftware eine Umfrage in drei europäischen Ländern…

1 Tag ago

Ausprobiert: Rock Space WLAN Repeater AC1200

Der Rock Space WLAN Repeater AC1200 funkt mit 5 und 2,4 GHz. Die maximale Übertragungsrate beträgt 867 MBit/s. Bei 2,4…

2 Tagen ago

BSI veröffentlicht Sicherheitsanforderungen für Smartphones

Mit dem Forderungskatalog will das BSI einen öffentlichen Diskurs über Sicherheit von Smartphones starten. Die Anforderungen sollen zukünftig in Richtlinien…

2 Tagen ago

Update für Chrome schließt Zero-Day-Lücke

Mit Version 80.0.3987.122 schließt Google in Chrome drei Sicherheitslücken. Mit CVE-2020-6418 findet sich darunter auch eine Zero-Day-Lücke die aktiv ausgenutzt…

2 Tagen ago

Firefox: Mozilla aktiviert DNS-über-HTTPS für US-Nutzer

Durch die Verschlüsselung von DNS-Abfragen schützen sich Anwender vor dem Ausspionieren des Surfverhaltens. Anders als beim Google-Browser Chrome können Firefox-Nutzer…

2 Tagen ago

Opera R2020 mit verbessertem Tab-Management

Opera 67.0 alias R2020 soll mit seinem verbessertem Tab-Management für Ordnung beim Surfen sorgen. Tabs lassen sich in insgesamt fünf…

2 Tagen ago