Schadsoftware: Neue Linux-Malware spielt verstecken

Forscher haben eine neue Linux-Malware entdeckt, die sich besonders gut tarnt. Dabei kann sie sowohl als Kryptominer oder Spionage-Werkzeug agieren.

Artikel veröffentlicht am ,
Tux ist das Maskottchen von Linux.
Tux ist das Maskottchen von Linux. (Bild: barek2marcin/Pixabay)

Forscher von AT&T Alien Labs haben eine neue Linux-Malware entdeckt, die sich auf besondere Weise tarnt und es auf Internet-of-Things-Geräte (IoT) und Server abgesehen hat. So wird der Payload mehrfach encodiert und zur Kommunikation werden bekannte Clouddienste eingesetzt. Zuerst berichtete das Onlinemagazin Ars Technica.

Stellenmarkt
  1. Projektleiterin / Projektleiter für die Bauwerkserneuerung der Ingenieurbauwerke U-Bahn (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
  2. Projektleiter (w/m/d) im Bereich Breitbandinfrastruktur
    RBS wave GmbH, Stuttgart, Ettlingen
Detailsuche

"Bedrohungsakteure suchen immer wieder nach neuen Möglichkeiten, Malware zu verbreiten, um unter dem Radar zu bleiben und nicht entdeckt zu werden", schreibt der Forscher Ofer Caspi von AT&T Alien Labs. "Die Malware verwendet den polymorphen XOR-Codierer Shikata Ga Nai mit additiver Rückkopplung, der zu den beliebtesten Encodern in Metasploit gehört. Mithilfe des Encoders durchläuft die Malware mehrere Dekodierschleifen, wobei eine Schleife die nächste Ebene dekodiert, bis die endgültige Shellcode-Payload dekodiert und ausgeführt wird."

Das eigentliche Ziel der Schadsoftware bleibt jedoch unklar. Einerseits verwendet sie eine Kryptomining-Software, die unter anderem zu heimlichem Kryptojacking genutzt werden kann. Andererseits lädt die Shikitega jedoch das Metasploit-Paket Mettle herunter und führt es aus. Damit lassen sich beispielsweise die Webcam steuern oder Anmeldeinformationen stehlen. Zudem bündelt das Paket mehrere Reverse-Shells. Entsprechend dürfte es nicht das Einzige Ziel der Malware sein, heimlich Monero zu schürfen.

Per Sicherheitslücke die Rechte ausweiten

Um eine Entdeckung zu erschweren, setzen die Bedrohungsakteure auf legitime Clouddienste als Command-and-Control-Instanz. Die von dort erhaltenen Befehle sowie das Mettle-Paket werden zudem nicht auf der Festplatte beziehungsweise SSD gespeichert, sondern nur im Arbeitsspeicher vorgehalten.

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    28.-30.11.2022, Virtuell
  2. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
Weitere IT-Trainings

Außderdem versucht die Schadsoftware über zwei bekannte Sicherheitslücken Root-Rechte zu erlangen. Hierzu setzt sie auf die Sicherheitslücke Pwnkit (CVE-2021-4034), die rund 12 Jahre im Linux-Kernel lauerte, ehe sie Anfang des Jahres gepatcht wurde.

Die zweite Sicherheitslücke zur Rechte-Ausweitung wurde bereits im April 2021 aufgedeckt und ebenfalls vor geraumer Zeit gepatcht. Allerdings dürften insbesondere Internet-of-Things-Geräte die Patches nicht selten noch nicht eingespielt haben. Persistenz erlangt die Malware über Crontab-Einträge.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Minority Report wird 20 Jahre alt
Die Zukunft wird immer gegenwärtiger

Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
Von Peter Osteried

Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
Artikel
  1. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

  2. Firefly Aerospace: Rakete erreicht den Orbit
    Firefly Aerospace
    Rakete erreicht den Orbit

    Der zweite Start der Alpha-Rakete war erfolgreich. Sie hat Satelliten in einer niedrigen Erdumlaufbahn ausgesetzt.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /