Samba Cry: Neue Malware zielt auf alte Sicherheitslücke ab

Offenbar ist die als Samba Cry bekanntgewordenen Lücke immer noch ein lohnendes Ziel für Angreifer. Jetzt gibt es eine weitere Malware, die diese Lücken ausnutzen will. Die Malware zielt offenbar auf verwundbare NAS ab.

Artikel veröffentlicht am ,
Samba gibt es nicht nur in Brasilien, sondern auch auf Linux-Rechnern.
Samba gibt es nicht nur in Brasilien, sondern auch auf Linux-Rechnern. (Bild: Luiza Brunet: Reina Imperatriz 2008)

Eigentlich wurde die Schwachstelle Samba Cry (CVE-2017-7494) längst repariert und es gibt Updates für verschiedene Linux-Systeme. Augenscheinlich ist der Patch aber nicht auf allen Geräten angekommen, die Windowsfreigaben über Samba bereitstellen. Und viele davon sind weiterhin direkt über das Internet erreichbar. Jetzt gibt es eine weitere Malware, die versucht, sich auf ungepatchten Geräten einzunisten. Der Hersteller Trend Micro, der die Malware entdeckte, nennt sie Elf_Shellbind.A. Die Malware wurde auch für Architekturen programmiert, die auf externen Speicherlösungen üblich sind, etwa ARM, MIPS und sogar PowerPC.

Stellenmarkt
  1. Systemadministrator (m/w/d) Exchange / Mobile Kommunikation
    SIS Schweriner IT- und Servicegesellschaft mbH, Schwerin
  2. Administrator ServiceNow (m/w/d)
    operational services GmbH & Co. KG, Berlin, Hamburg, Frankfurt am Main, München
Detailsuche

Anders als die erste bekanntgewordene Malware, die Samba Cry ausnutzte und gleich eine Mining-Software (EternalMiner/CPUMiner) mit installierte, um die Kryptowährung Monero zu schürfen, hat die neue Malware keine Payload. Elf_Shellbind.A nistet sich zunächst als Datei mit der Endung .so in einem öffentlich zugänglichen Ordner ein. Der Angreifer muss anschließend einen IPC-Befehl an die abgelegte Datei senden, um sie auszuführen. Dazu wird der absolute Pfad zu der Datei benötigt, was den Angriff deutlich erschwert.

Malware wartet auf Befehle

Die Malware versucht nach der Initialisierung zunächst eine Verbindung zu einem Server mit der IP-Adresse 69.239.128.123 aufzubauen. Die Experten bei Trend Micro vermuten hinter der IP-Adresse einen Command-and-Control-Server. Mit dem Verbindungsaufbau wird auch die IP-Adresse des infizierten Geräts übermittelt. Gleichzeitig werden Iptable-Regeln so geändert, dass eine Verbindung über den Port 61422 Anfragen aus der Ferne akzeptiert. Bei einer erfolgreichen Infizierung des Systems erhält der Angreifer Zugriff auf die Shell und somit die volle Kontrolle über das Gerät.

Wer noch kein Update für möglicherweise verwundbare Geräte erhalten hat, sollte unbedingt beim Hersteller anfragen. In der Konfigurationsdatei des Samba-Servers lassen sich Dateien mit bestimmten Endungen mit der Option veto files blockieren. Die von Trend Micro genannte IP-Adresse des vermeintlichen Command-and-Control-Servers und auch die verwendete Portnummer könnten Nutzern Hinweise auf eine Infizierung geben. Allerdings dürfte sie sich in künftigen Versionen der Malware ändern. Und schließlich sollten öffentliche Ordner ohne Passwortschutz nicht über den Port 445 im Internet erreichbar sein, wenn nicht unbedingt nötig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik
CATL stellt erste Natrium-Ionen-Akkus für Autos vor

160 Wh pro Kilogramm. 80 Prozent Akkuladung in 15 Minuten. 90 Prozent Kapazität bei minus 20 Grad Celsius. CATL startet eine neue Ära der Akku-Technik.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: CATL stellt erste Natrium-Ionen-Akkus für Autos vor
Artikel
  1. Erneuerbare Energien: Größte Gezeitenturbine geht vor Schottland in Betrieb
    Erneuerbare Energien
    Größte Gezeitenturbine geht vor Schottland in Betrieb

    Die Meere bieten viel Energie, die sich in elektrischen Strom wandeln lässt. In Schottland ist gerade ein neues Gezeitenkraftwerk ans Netz gegangen.

  2. Verschlüsselung: Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen
    Verschlüsselung
    Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen

    Eine mit Bitlocker verschlüsselte SSD mit TPM-Schutz lässt sich relativ einfach knacken. Ein Passwort schützt, ist aber nicht der Standard.

  3. Spionagesoftware: Israelische Behörden überprüfen Pegasus-Hersteller NSO
    Spionagesoftware
    Israelische Behörden überprüfen Pegasus-Hersteller NSO

    War es eine Razzia oder eine freundliche Besichtigung? Der diplomatische Druck auf Israel wegen des Trojaner-Herstellers NSO zeigt offenbar Wirkung.

chewbacca0815 20. Jul 2017

"Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional günstiger • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen (u. a. 14" 64GB 229€) • Alternate (u. a. Deepcool-Gehäuselüfter ab 24,99€) • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Philips-Fernseher 65" Ambilight 679€ [Werbung]
    •  /