Der neue Linux-Crypto-Miner stehlt Root-Passwort und deaktiviert Virenschutz

Anzeige
Möbelier +++ fashion +++ Angebote

Malware, die sich an Linux-Anwender richtet, ist vielleicht nicht so weit verbreitet wie die Belastungen, die auf das Windows-Ökosystem abzielen, aber Linux-Malware wird im Laufe der Zeit genauso komplex und multifunktional. Das jüngste Beispiel für diesen Trend ist ein neuer Trojaner, der diesen Monat vom russischen Antivirenhersteller Dr.Web entdeckt wurde. Dieser neue Malware-Stamm hat noch keinen unverwechselbaren Namen, sondern wird nur unter seinem generischen Erkennungsnamen Linux.BtcMine.174 verfolgt.

Der Trojaner selbst ist ein riesiges Shell-Skript mit über 1.000 Zeilen Code. Dieses Skript ist die erste Datei, die auf einem infizierten Linux-System ausgeführt wird. Das erste, was dieses Skript tut, ist, einen Ordner auf der Festplatte zu finden, in den es Schreibrechte hat, damit es sich selbst kopieren und später andere Module herunterladen kann. Sobald der Trojaner auf dem System Fuß gefasst hat, verwendet er eine von zwei Privilegien-Eskalationsausnutzungen CVE-2016-5195 (auch bekannt als Dirty COW) und CVE-2013-2094, um Root-Rechte zu erhalten und vollen Zugriff auf das Betriebssystem zu haben.

Der Trojaner richtet sich dann als lokaler Daemon ein und lädt sogar das Dienstprogramm nohup herunter, um diese Operation zu erreichen, wenn das Dienstprogramm nicht bereits vorhanden ist. Nachdem der Trojaner den infizierten Host fest im Griff hat, fährt er mit der Ausführung seiner primären Funktion fort, für die er entwickelt wurde, dem Kryptowährungsmining. Der Trojaner scannt und beendet zunächst die Prozesse mehrerer konkurrierender Malware-Familien, lädt sie herunter und startet dann seinen eigenen Monero-Mining-Betrieb.

Es lädt auch eine andere Malware herunter und führt sie aus, den sogenannten Bill.Gates-Trojaner, einen bekannten DDoS-Malware-Stamm, der aber auch mit vielen Backdoor-ähnlichen Funktionen ausgestattet ist. Linux.BtcMine.174 ist jedoch nicht fertig. Der Trojaner sucht auch nach Prozessnamen, die mit Linux-basierten Antivirenlösungen verknüpft sind, und beendet deren Ausführung. Dr.Web-Forscher sagen, dass sie den Trojaner gesehen haben, der Antivirenprozesse mit Namen wie safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord stoppt.

Aber selbst nachdem sie sich als Daemon eingerichtet haben, Root-Rechte über bekannte Exploits erhalten und die Bill.Gates-Malware mit ihren Backdoor-Fähigkeiten installiert haben, sind die Betreiber des Trojaners immer noch nicht zufrieden mit ihrem Zugriff auf infizierte Hosts.

Laut Dr.Web fügt sich der Trojaner auch als Autorun-Eintrag in Dateien wie /etc/rc.local, /etc/rc.d/…. und /etc/cron.hourly ein und lädt dann ein Rootkit herunter und startet es. Diese Rootkit-Komponente hat noch mehr aufdringliche Funktionen, wie z.B. „die Fähigkeit, benutzerdefinierte Passwörter für den su-Befehl zu stehlen und Dateien im Dateisystem, Netzwerkverbindungen und laufenden Prozessen zu verstecken“.

Das ist eine beeindruckende Liste bösartiger Funktionen, aber Linux.BtcMine.174 ist noch nicht fertig. Der Trojaner führt auch eine Funktion aus, die Informationen über alle entfernten Server sammelt, die der infizierte Host über SSH verbunden hat, und versucht, sich auch mit diesen Computern zu verbinden, um sich auf noch mehr Systeme zu verteilen.

Dieser SSH-Selbstverbreitungsmechanismus gilt als der wichtigste Vertriebskanal des Trojaners. Da der Trojaner auch darauf angewiesen ist, gültige SSH-Anmeldeinformationen zu stehlen, bedeutet dies, dass selbst wenn einige Linux-Sysadmins darauf achten, die SSH-Verbindungen ihrer Server ordnungsgemäß zu sichern und nur eine ausgewählte Anzahl von Hosts eine Verbindung zulassen, sie möglicherweise keine Infektion verhindern können, wenn einer dieser ausgewählten Hosts ohne sein Wissen infiziert wurde.

Anzeige
Cruise Critic
Das könnte dir auch gefallen