Botnet greift Linux-Server an

Kein System ist unangreifbar. Linux-basierte Malware ist weniger verbreitet als Schadsoftware für Windows und wird daher von der Sicherheits-Community weniger genau unter die Lupe genommen. Allerdings laufen viele geschäftskritische Systeme auf Linux-Systemen, und Malware, die sich Zugang zu diesen Systemen verschafft, kann bei Unternehmen, die ihre Server nicht richtig absichern, erhebliche Störungen und irreparable Schäden verursachen.

Die neueste dieser Bedrohungen für Linux trägt den Namen DreamBus. Laut der Sicherheitsfirma Zscaler ist diese neue Bedrohung eine Variante eines älteren Botnetzes namens SystemdMiner, das erstmals Anfang 2019 gesehen wurde, aber mittlerweile stark verbessert wurde.

Derzeit zielt das Botnet auf Anwendungen auf Unternehmensebene ab, die auf Linux-Systemen laufen. Zu den Zielen gehört Anwendungen wie PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack und der SSH-Dienst.

Einige dieser Apps werden mit Brute-Force-Angriffen gegen ihre Standard-Administrator-Benutzernamen angegriffen, andere mit bösartigen Befehlen, die an exponierte API-Endpunkte gesendet werden, oder über Exploits für ältere Sicherheitslücken.

Die DreamBus-Malware arbeitet ähnlich wie ein Wurm. Die Schadsoftware verbreitet sich mit einer Vielzahl von Methoden sehr effektiv über das Internet und lateral durch ein internes Netzwerk. Zu diesen Techniken gehören zahlreiche Module, die implizites Vertrauen, schwache Kennwörter und nicht authentifizierte Schwachstellen bei der Remotecodeausführung (RCE) in beliebten Anwendungen ausnutzen, darunter Secure Shell (SSH), IT-Administrationstools, eine Reihe von Cloud-basierten Anwendungen und Datenbanken. Diese speziellen Anwendungen werden angegriffen, da sie oft auf Systemen mit leistungsstarker Hardware mit viel Speicher und leistungsstarken CPUs ausgeführt werden.

Wenn  die DreamBus-Bande auf einem Linux-Server Fuß fassen kann, wird sie eine Open-Source-App herunterladen und installieren, die die Kryptowährung Monero (XMR) schürft. Darüber hinaus wird jeder der infizierten Server auch als Bot in der DreamBus-Operation verwendet, um weitere Brute-Force-Angriffe gegen andere mögliche Ziele zu starten.

Zscaler sagte auch, dass DreamBus eine ganze Reihe von Maßnahmen ergriffen hat, um eine einfache Entdeckung zu verhindern. Eine davon war, dass alle mit der Malware infizierten Systeme mit dem Command-and-Control (C&C)-Server des Botnets über das neue DNS-over-HTTPS (DoH)-Protokoll kommunizierten. DoH-fähige Malware ist sehr selten, da sie sehr komplex einzurichten ist.

Um zu verhindern, dass der C&C-Server abgeschaltet wird, hat die DreamBus-Gang ihn außerdem im Tor-Netzwerk gehostet – über eine .onion-Adresse. Brett Stone-Gross von Zscaler glaubt, dass es sich um ein Botnet handelt, das von Russland oder Osteuropa aus entwickelt und betrieben wird.

„Updates und neue Befehle werden ausgegeben, die typischerweise gegen 9:00 Uhr Moskauer Standardzeit (MSK) beginnen und etwa um 18:00 Uhr MSK enden“, so der Forscher. Stone-Gross warnt Unternehmen davor, dieses Botnetz auf die leichte Schulter zu nehmen.

Zwar betreibt das Botnet im Moment nur einen Cryptocurrency-Miner, aber der Zscaler-Forscher glaubt, dass die Betreiber jederzeit auf gefährlichere Nutzlasten wie Ransomware oder Datendiebstahl umsteigen könnten.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Jakob Jung

Recent Posts

WhatsApp: Videoanruf per Desktop

WhatsApp, ein Tochterunternehmen von Facebook, eröffnet Nutzern die Möglichkeit, kostenlose Videoanrufe auf Windows und Mac…

3 Tagen ago

Samsung stellt Galaxy XCover 5 vor

Samsung hat sein neuestes Galaxy-Smartphone angekündigt, das Galaxy XCover 5 für die Kommunikation unter widrigen…

3 Tagen ago

Sicherheitslücken im Linux-Kernel entdeckt

Russische Forscher haben Sicherheitslücken im Linux-Kernel entdeckt und bereits behoben. Linux-Admins sollten schleunigst den Patch…

4 Tagen ago

Microsoft Exchange Server von chinesischen Hackern bedroht

Eine chinesische Hackergruppe namens Hafnium nutzt Sicherheitslücken im Microsoft Exchange planmäßig aus. Microsoft rät Kunden…

4 Tagen ago

Microsoft kündigt Windows Server 2022 an

Microsoft hat auf der Konferenz Ignite am 2. März 2021 neue Funktionen für den Windows…

5 Tagen ago

Cyber-Versicherung: Munich Re kooperiert mit Google Cloud und Allianz

Die neue Kooperation von Munich Re mit Google Cloud und Allianz Global Corporate & Specialty…

5 Tagen ago