Botnet greift Linux-Server an

Kein System ist unangreifbar. Linux-basierte Malware ist weniger verbreitet als Schadsoftware für Windows und wird daher von der Sicherheits-Community weniger genau unter die Lupe genommen. Allerdings laufen viele geschäftskritische Systeme auf Linux-Systemen, und Malware, die sich Zugang zu diesen Systemen verschafft, kann bei Unternehmen, die ihre Server nicht richtig absichern, erhebliche Störungen und irreparable Schäden verursachen.

Die neueste dieser Bedrohungen für Linux trägt den Namen DreamBus. Laut der Sicherheitsfirma Zscaler ist diese neue Bedrohung eine Variante eines älteren Botnetzes namens SystemdMiner, das erstmals Anfang 2019 gesehen wurde, aber mittlerweile stark verbessert wurde.

Derzeit zielt das Botnet auf Anwendungen auf Unternehmensebene ab, die auf Linux-Systemen laufen. Zu den Zielen gehört Anwendungen wie PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack und der SSH-Dienst.

Einige dieser Apps werden mit Brute-Force-Angriffen gegen ihre Standard-Administrator-Benutzernamen angegriffen, andere mit bösartigen Befehlen, die an exponierte API-Endpunkte gesendet werden, oder über Exploits für ältere Sicherheitslücken.

Die DreamBus-Malware arbeitet ähnlich wie ein Wurm. Die Schadsoftware verbreitet sich mit einer Vielzahl von Methoden sehr effektiv über das Internet und lateral durch ein internes Netzwerk. Zu diesen Techniken gehören zahlreiche Module, die implizites Vertrauen, schwache Kennwörter und nicht authentifizierte Schwachstellen bei der Remotecodeausführung (RCE) in beliebten Anwendungen ausnutzen, darunter Secure Shell (SSH), IT-Administrationstools, eine Reihe von Cloud-basierten Anwendungen und Datenbanken. Diese speziellen Anwendungen werden angegriffen, da sie oft auf Systemen mit leistungsstarker Hardware mit viel Speicher und leistungsstarken CPUs ausgeführt werden.

Wenn  die DreamBus-Bande auf einem Linux-Server Fuß fassen kann, wird sie eine Open-Source-App herunterladen und installieren, die die Kryptowährung Monero (XMR) schürft. Darüber hinaus wird jeder der infizierten Server auch als Bot in der DreamBus-Operation verwendet, um weitere Brute-Force-Angriffe gegen andere mögliche Ziele zu starten.

Zscaler sagte auch, dass DreamBus eine ganze Reihe von Maßnahmen ergriffen hat, um eine einfache Entdeckung zu verhindern. Eine davon war, dass alle mit der Malware infizierten Systeme mit dem Command-and-Control (C&C)-Server des Botnets über das neue DNS-over-HTTPS (DoH)-Protokoll kommunizierten. DoH-fähige Malware ist sehr selten, da sie sehr komplex einzurichten ist.

Um zu verhindern, dass der C&C-Server abgeschaltet wird, hat die DreamBus-Gang ihn außerdem im Tor-Netzwerk gehostet – über eine .onion-Adresse. Brett Stone-Gross von Zscaler glaubt, dass es sich um ein Botnet handelt, das von Russland oder Osteuropa aus entwickelt und betrieben wird.

„Updates und neue Befehle werden ausgegeben, die typischerweise gegen 9:00 Uhr Moskauer Standardzeit (MSK) beginnen und etwa um 18:00 Uhr MSK enden“, so der Forscher. Stone-Gross warnt Unternehmen davor, dieses Botnetz auf die leichte Schulter zu nehmen.

Zwar betreibt das Botnet im Moment nur einen Cryptocurrency-Miner, aber der Zscaler-Forscher glaubt, dass die Betreiber jederzeit auf gefährlichere Nutzlasten wie Ransomware oder Datendiebstahl umsteigen könnten.