Abo
  • Services:
Anzeige
Samba gibt es nicht nur in Brasilien, sondern auch auf Linux-Rechnern.
Samba gibt es nicht nur in Brasilien, sondern auch auf Linux-Rechnern. (Bild: Luiza Brunet: Reina Imperatriz 2008)

Samba Cry: Neue Malware zielt auf alte Sicherheitslücke ab

Samba gibt es nicht nur in Brasilien, sondern auch auf Linux-Rechnern.
Samba gibt es nicht nur in Brasilien, sondern auch auf Linux-Rechnern. (Bild: Luiza Brunet: Reina Imperatriz 2008)

Offenbar ist die als Samba Cry bekanntgewordenen Lücke immer noch ein lohnendes Ziel für Angreifer. Jetzt gibt es eine weitere Malware, die diese Lücken ausnutzen will. Die Malware zielt offenbar auf verwundbare NAS ab.

Eigentlich wurde die Schwachstelle Samba Cry (CVE-2017-7494) längst repariert und es gibt Updates für verschiedene Linux-Systeme. Augenscheinlich ist der Patch aber nicht auf allen Geräten angekommen, die Windowsfreigaben über Samba bereitstellen. Und viele davon sind weiterhin direkt über das Internet erreichbar. Jetzt gibt es eine weitere Malware, die versucht, sich auf ungepatchten Geräten einzunisten. Der Hersteller Trend Micro, der die Malware entdeckte, nennt sie Elf_Shellbind.A. Die Malware wurde auch für Architekturen programmiert, die auf externen Speicherlösungen üblich sind, etwa ARM, MIPS und sogar PowerPC.

Anders als die erste bekanntgewordene Malware, die Samba Cry ausnutzte und gleich eine Mining-Software (EternalMiner/CPUMiner) mit installierte, um die Kryptowährung Monero zu schürfen, hat die neue Malware keine Payload. Elf_Shellbind.A nistet sich zunächst als Datei mit der Endung .so in einem öffentlich zugänglichen Ordner ein. Der Angreifer muss anschließend einen IPC-Befehl an die abgelegte Datei senden, um sie auszuführen. Dazu wird der absolute Pfad zu der Datei benötigt, was den Angriff deutlich erschwert.

Anzeige

Malware wartet auf Befehle

Die Malware versucht nach der Initialisierung zunächst eine Verbindung zu einem Server mit der IP-Adresse 69.239.128.123 aufzubauen. Die Experten bei Trend Micro vermuten hinter der IP-Adresse einen Command-and-Control-Server. Mit dem Verbindungsaufbau wird auch die IP-Adresse des infizierten Geräts übermittelt. Gleichzeitig werden Iptable-Regeln so geändert, dass eine Verbindung über den Port 61422 Anfragen aus der Ferne akzeptiert. Bei einer erfolgreichen Infizierung des Systems erhält der Angreifer Zugriff auf die Shell und somit die volle Kontrolle über das Gerät.

Wer noch kein Update für möglicherweise verwundbare Geräte erhalten hat, sollte unbedingt beim Hersteller anfragen. In der Konfigurationsdatei des Samba-Servers lassen sich Dateien mit bestimmten Endungen mit der Option veto files blockieren. Die von Trend Micro genannte IP-Adresse des vermeintlichen Command-and-Control-Servers und auch die verwendete Portnummer könnten Nutzern Hinweise auf eine Infizierung geben. Allerdings dürfte sie sich in künftigen Versionen der Malware ändern. Und schließlich sollten öffentliche Ordner ohne Passwortschutz nicht über den Port 445 im Internet erreichbar sein, wenn nicht unbedingt nötig.


eye home zur Startseite
chewbacca0815 20. Jul 2017

"Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Haufe Group, München
  3. über Duerenhoff GmbH, Augsburg
  4. BWI GmbH, München


Anzeige
Top-Angebote
  1. 35,99€
  2. (u. a. Anno 2205 Ultimate Edition für 10,99€, Anno 2070 Königsedition für 6,99€ und...

Folgen Sie uns
       


  1. Sieben Touchscreens

    Nissan Xmotion verwendet Koi als virtuellen Assistenten

  2. Intellimouse Classic

    Microsofts beliebte Maus kehrt zurück

  3. Investition verdoppelt

    Ford steckt elf Milliarden US-Dollar in Elektroautos

  4. FTTC

    Weitere 358.000 Haushalte bekommen Vectoring der Telekom

  5. Win 2

    GPD stellt neues Windows-10-Handheld vor

  6. Smartphone

    Kreditkartenbetrug bei Oneplus-Kunden

  7. Verwaltung

    Barcelona plant Wechsel auf Open-Source-Software

  8. Elektroauto

    Norwegische Model-S-Fahrer klagen gegen Tesla

  9. Streaming

    Gronkh hat eine Rundfunklizenz

  10. Nachbarschaftsnetzwerke

    Nebenan statt mittendrin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Raumfahrt 2017: Wie SpaceX die Branche in Aufruhr versetzt
Raumfahrt 2017
Wie SpaceX die Branche in Aufruhr versetzt
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt Nasa wählt zwei Missionen in unserem Sonnensystem aus

Datenschutz an der Grenze: Wer alles löscht, macht sich verdächtig
Datenschutz an der Grenze
Wer alles löscht, macht sich verdächtig
  1. US-Grenzkontrolle Durchsuchung elektronischer Geräte wird leicht eingeschränkt
  2. Forschungsförderung Medizin-Nobelpreisträger Rosbash kritisiert Trump
  3. Baden Württemberg Streit über "Cyberwehr" im Landtag

Künstliche Intelligenz: Die dummen Computer noch dümmer machen
Künstliche Intelligenz
Die dummen Computer noch dümmer machen
  1. Linksunten.indymedia.org E-Mails, Computer, Briefpost - alles beschlagnahmt
  2. Homebrew-System auf Nintendos Switch Glitch the Switch!
  3. Soziale Medien Social Bots verzweifelt gesucht

  1. Und jetzt bitte noch

    onkel hotte | 08:51

  2. Re: Klarer Mangel

    ArcherV | 08:49

  3. Re: Stutensee mit auf der Liste, aber nicht...

    Sharra | 08:44

  4. Re: Problem nicht gelöst

    Thunderbird1400 | 08:43

  5. Re: wem nützt das, ...

    madaeon | 08:42


  1. 07:44

  2. 07:29

  3. 07:14

  4. 18:28

  5. 17:50

  6. 16:57

  7. 16:19

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel