Categories: SicherheitVirus

Malware Amnesia bildet IoT/Linux-Botnet

Die Malware Amnesia setzt eine neue Technik ein, um einer Entdeckung zu entgehen. Die Sicherheitsfirma Palo Alto Networks sieht sie als erste Linux-Malware, die virtuelle Maschinen erkennen und löschen kann. Das soll sich gegen von Sicherheitsforschern eingerichtete Sandboxes mit Analysewerkzeugen richten. Die Malware löscht sich außerdem selbst, um keine weiteren Spuren zu hinterlassen.

Solche Methoden zur Umgehung virtueller Maschinen waren bislang von Schadsoftware für Microsoft Windows und Googles Android bekannt. Ähnlich wie diese versucht Amnesia herauszufinden, ob sie in einer virtuellen Maschine läuft, die auf VirtualBox, VMware oder QEMU läuft. Erkennt sie eine solche, löscht sie alle Dateien im Dateisystem eines virtalisierten Linux. Davon betroffen sind nicht nur Sandboxen zur Analyse von Linux-Malware, sondern einige QUEMU-basierte Linux-Server in VPS- oder Public-Cloud-Umgebungen – auch hier droht eine vollständige Löschung.

Laut Palo Alto handelt es sich bei Amnesia um eine Variante der Linux-Malware Tsunami, die gleichnamige IoT/Linux-Botnets schaffen kann. Das demonstrierte vor einem Jahr ein Hacker , indem er Tsunami in ISO-Dateien von Linux Mint einbaute und über die Website dieser Linux-Distribution verteilte.

Entdeckt wurde Amnesia auf digitalen Videorekordern mit einer Sicherheitslücke, die schon vor einem Jahr bekannt – aber offenbar noch immer nicht behoben wurde. Wie die Sicherheitsforscher herausfanden, weisen rund 227.000 Geräte diese Schwachstelle auf. Diese stammen zwar alle von einem Hersteller namens TVT Digital, wurden aber unter verschiedensten Marken weltweit von über 70 Anbietern verkauft.

Nicht die für Angriffe anfälligen Videorekorder sind dabei der interessanteste Aspekt. Es ist vielmehr ein weiterer Beleg für die Anfälligkeit von vernetzten Geräten im Internet der Dinge (Internet of Things, IoT), bei denen es sich nicht um herkömmliche IT-Systeme handeln muss.

Die neuartige Malware sucht aktiv nach anfälligen Systemen, um sie durch Remotecodeausführung vollständig zu übernehmen. Wie bei Tsunami kann ein entstehendes Botnet für Denial-of-Service-Angriffe genutzt werden. Palo Alto hält ähnlich breit angelegte DDoS-Attacken wie durch Mirai-Botnets für möglich.

Bernd Kling

Recent Posts

Samsung stellt ausfallsichere PCIe-SSD vor

Eine Fail-in-place genannte Technik erkennt defekte Speicherchips. Sie verlagert die dort gespeicherten Daten in andere Chips. Der sonst notwendige Austausch…

10 Stunden ago

Windows Defender: Update legt Scan-Funktion lahm

Schnellüberprüfung und vollständiger Scan bearbeiten nur rund 40 Dateien. Offenbar funktioniert nur die Benutzerdefinierte Überprüfung korrekt. Auslöser ist ein fehlerhaftes…

12 Stunden ago

Huawei Mate 30 und Mate 30 Pro mit Android 10 aber ohne Google-Dienste

Das Mate 30 kostet mit 8 GByte RAM und 128 GByte Speicher 799 Euro. Das Mate 30 Pro für 1099…

1 Tag ago

Hacking-Kampagne gegen IT-Provider bereitet Angriffe auf die Lieferkette vor

Derzeit sind überwiegend Unternehmen in Saudi-Arabien betroffen. Die Gruppe Tortoiseshell ist offenbar seit Juli 2018 aktiv. Aktuelle setzt sie auf…

1 Tag ago

Neue Ransomware macht PCs mit „Overkill“-Verschlüsselung unbrauchbar

Nemty kombiniert verschiedene Verschlüsselungstechniken. Außerdem nutzt die Erpressersoftware ungewöhnlich lange RSA-Schlüssel mit 8192 Bits. Die Entwicklung eines kostenlosen Entschlüsselungstools halten…

1 Tag ago

Amazon Music bietet ab sofort Hi-Res-Audio-Streaming

Amazon Music HD bietet verlustfreien Klang in zwei Qualitätsstufen: HD und Ultra HD. HD Songs verfügen über eine Bittiefe von…

2 Tagen ago