Linux-Webserver Rootkit liefert bösartige Iframes aus

Ein kürzlich entdecktes Rootkit klinkt sich als Kernel-Modul in Linux-Systeme ein und legt Schadcode in Form von Iframes in ausgelieferten Webseiten ab. Auf dem Rechner eines Opfers sucht der Schadcode nach Schwachstellen und infiziert ihn.

Anzeige

Ein als Kernel-Modul umgesetztes Rootkit ist auf einem Nginx-Webserver entdeckt worden. Dort nutzt es Speicheradressen des Linux-Kernels (Symbols), um sich in das System einzuklinken (Hooking). Es bettet Iframes in die ausgelieferten Webseiten des Nginx-Servers ein. Diese enthalten wiederum eine präparierte Webseite, die den Rechner eines Opfers nach Schwachstellen durchsucht und dann infiziert.

Sowohl Kaspersky Labs als auch das Sicherheitsunternehmen Crowdstrike haben das Rootkit analysiert. Es wurde speziell für die Kernel-Version 2.6.32 in der 64-Bit-Variante erstellt. Diese Kernel-Version wird in Debian 6 alias Squeeze eingesetzt. Auf infizierten Servern wird es unter dem Namen module_init.ko im Verzeichnis /lib/modules/2.6.32-5-amd64/kernel/sound abgelegt.

Selbsttarnung

Das Rootkit-Modul analysiert die vom Linux-Kernel bereitgestellten Symbole und liest daraus die Speicheradressen etlicher Kernel-Funktionen und -Variablen aus und legt sie wiederum im Arbeitsspeicher ab. Die zuvor bei der Sammlung der Speicheradressen erstellten temporären Dateien werden gelöscht. Um sich zu tarnen, nutzt das Rootkit-Modul diverse Kernel-Funktionen. Um einen Neustart zu überstehen, trägt es sich in die Konfigurationsdatei /etc/rc.local ein.

Die Iframes werden direkt über die Kernel-Funktion tcp_sendmsg in TCP-Pakete injiziert. Selbst Fehlerseiten des Nginx-Servers enthalten dann iFrames, wie die ursprünglichen Entdecker feststellten und in der Mailingliste Seclists.org mitteilten. Den Inhalt der Iframes holt sich das Rootkit von einem C&C-Server ab, mit dem es sich mittels eines verschlüsselten Passworts verbindet. Kasperskys Experten konnten sich zwar nicht mit dem Server verbinden, er sei jedoch weiterhin aktiv und enthalte weitere Unix-basierte Werkzeuge, etwa zur Reinigung von Protokolldateien.

Noch unausgereift

Das Rootkit sei wohl noch in der experimentellen Phase, schreiben die Experten. Es ist noch mit Debugging-Informationen versehen und deshalb etwa 500 KByte groß. Es wurde auch deshalb entdeckt, weil die HTTP-Antworten nicht ordentlich geparst werden. Die Experten bei Crowdstrike kommen zu dem Schluss, dass das Rootkit eine Auftragsarbeit eines Entwicklers ist, der kaum Erfahrungen mit dem Linux-Kernel hat. Es sei später ergänzt und modifiziert worden. Außerdem müsste der Angreifer Root-Rechte für einen infizierten Debian-Server haben, denn der Code enthalte keine Hinweise auf ein Exploit, um als User Root-Rechte zu erlangen, heißt es im Crowdstrike-Blog.

Über die Verbreitung des Rootkits ist bislang nichts bekannt. Kaspersky Labs hat ihm den Namen Rootkit.Linux.Snakso.a gegeben und gibt an, ihn mit seiner Software entdecken zu können.


Baron Münchhausen. 29. Nov 2012

Bitte korrigieren, dann gibt es mehr Aufrufe

a user 21. Nov 2012

nun ja, das kommt darauf an wer von der manipulation nichts wissen soll. durch die...

a user 21. Nov 2012

steht doch alles da. bisher ein einziger server. die erste analyse läßt vermuten, dass es...

hiasB 21. Nov 2012

Hatte Golem auch Squeezy? Das ist ein weiterer Hinweis, dass heise und Golem voneinander...

Kommentieren



Anzeige

  1. Senior BI Solutions Architekt (m/w)
    SolarWorld AG, Bonn
  2. Business Intelligence Experte (m/w)
    Sparkassen Rating und Risikosysteme GmbH, Berlin
  3. IT-Spezialist (m/w) für Anwendungsentwicklung
    Versicherungskammer Bayern, München
  4. Ingenieur (m/w) Materialflusssimulation / Intralogistiksysteme
    BEUMER Maschinenfabrik GmbH & Co. KG, Beckum (Raum Münster, Dortmund, Bielefeld)

 

Detailsuche


Folgen Sie uns
       


  1. MPAA und RIAA

    Film- und Musikindustrie nutzte Megaupload intensiv

  2. F-Secure

    David Hasselhoff spricht auf der Re:publica in Berlin

  3. "Leicht zu verdauen"

    SAP bietet Ratenkauf und kündigt vereinfachte GUI an

  4. Test The Elder Scrolls Online

    Skyrim meets Standard-MMORPG

  5. AMD-Vize Lisa Su

    Geringe Chancen für 20-Nanometer-GPUs von AMD für 2014

  6. Bärbel Höhn

    Smartphone-Hersteller zu Diebstahl-Sperre zwingen

  7. Taxi-App

    Uber will trotz Verbot in weitere deutsche Städte

  8. First-Person-Walker

    Wie viel Gameplay braucht ein Spiel?

  9. Finanzierungsrunde

    Startup Airbnb ist zehn Milliarden US-Dollar wert

  10. Spähaffäre

    Snowden erklärt seine Frage an Putin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IMHO - Heartbleed und die Folgen: TLS entrümpeln
IMHO - Heartbleed und die Folgen
TLS entrümpeln

Die Spezifikation der TLS-Verschlüsselung ist ein Gemischtwarenladen aus exotischen Algorithmen und nie benötigten Erweiterungen. Es ist Zeit für eine große Entrümpelungsaktion.

  1. Bleichenbacher-Angriff TLS-Probleme in Java
  2. Revocation Zurückziehen von Zertifikaten bringt wenig
  3. TLS-Bibliotheken Fehler finden mit fehlerhaften Zertifikaten

Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Test LG L40: Android 4.4.2 macht müde Smartphones munter
Test LG L40
Android 4.4.2 macht müde Smartphones munter

Mit dem L40 präsentiert LG eines der ersten Smartphones mit der aktuellen Android-Version 4.4.2, das unter 100 Euro kostet. Dank der Optimierungen von Kitkat überrascht die Leistung des kleinen Gerätes - und es dürfte nicht nur für Einsteiger interessant sein.

  1. LG G3 5,5-Zoll-Smartphone mit 1440p-Display und Kitkat
  2. LG L35 Smartphone mit Android 4.4 für 80 Euro
  3. Programmierbare LED-Lampe LG kündigt Alternative zur Philips Hue an

    •  / 
    Zum Artikel