Sicherheitsforscher haben erstmals eine Variante der bei chinesischen Hackern beliebten Malware Winnti analysiert, die unter Linux funktioniert. Entdeckt wurde sie von Mitarbeitern von Chronicle, einer Cyber-Security-Tochter von Alphabet. Die Linux-Version richtet auf infizierten Hosts eine Hintertür ein und erlaubt es den Angreifern, die kompromittierten Systeme aus der Ferne zu steuern.
Bei ihrer Analyse stellten die Chronicle-Forscher fest, dass sie aus zwei Komponenten besteht. Ein Rootkit soll dabei sicherstellen, dass die Malware auf einem infizierten System nicht erkannt wird. Die zweite Komponente ist der eigentliche Backdoor-Trojaner. Die Analyse zeigte zudem Ähnlichkeiten mit der Version 2.0 von Winnti für Windows, wie sie zuvor von Kaspersky Lab und Novetta beschrieben wurde.
Auch die Art, wie die Linux-Variante mit ausgehender Kommunikation mit dem Befehlsserver umgeht, legt demnach eine Verbindung zur Windows-Version nahe. Dabei soll eine charakteristische Mischung verschiedener Protokolle zum Einsatz kommen, darunter ICMP, HTTP und angepasste Versionen von TCP und UDP.
Darüber hinaus soll die Linux-Variante über eine sehr spezielle Funktion verfügen, die auch die Windows-Version auszeichnet. Die mutmaßlich chinesischen Hintermänner können nämlich auch direkt mit einem infizierten Host kommunizieren – also ohne Umweg über einen Befehlsserver.
Linux-Schadsoftware wird allerdings nur sehr selten von staatlich gestützten Hackern eingesetzt, vor allem, wenn man sie mit den Windows-Versionen vergleicht. „Linux-spezifische Tools von chinesischen APTs sind selten, aber nicht unbekannt“, sagte Silas Cutler, Reverse Engineering Lead bei Chronicle. „In der Vergangenheit hatten Tools wie HKdoor, Htran und Derusbi bereits Linux-Varianten.“ Linux-Malware sei wahrscheinlich auch deswegen gering verbreitet, weil Linux den Akteuren genügend Möglichkeiten biete, was eine individuelle Anpassung von Werkzeugen unnötig mache.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…