Die Malware Amnesia setzt eine neue Technik ein, um einer Entdeckung zu entgehen. Die Sicherheitsfirma Palo Alto Networks sieht sie als erste Linux-Malware, die virtuelle Maschinen erkennen und löschen kann. Das soll sich gegen von Sicherheitsforschern eingerichtete Sandboxes mit Analysewerkzeugen richten. Die Malware löscht sich außerdem selbst, um keine weiteren Spuren zu hinterlassen.
Solche Methoden zur Umgehung virtueller Maschinen waren bislang von Schadsoftware für Microsoft Windows und Googles Android bekannt. Ähnlich wie diese versucht Amnesia herauszufinden, ob sie in einer virtuellen Maschine läuft, die auf VirtualBox, VMware oder QEMU läuft. Erkennt sie eine solche, löscht sie alle Dateien im Dateisystem eines virtalisierten Linux. Davon betroffen sind nicht nur Sandboxen zur Analyse von Linux-Malware, sondern einige QUEMU-basierte Linux-Server in VPS- oder Public-Cloud-Umgebungen – auch hier droht eine vollständige Löschung.
Laut Palo Alto handelt es sich bei Amnesia um eine Variante der Linux-Malware Tsunami, die gleichnamige IoT/Linux-Botnets schaffen kann. Das demonstrierte vor einem Jahr ein Hacker , indem er Tsunami in ISO-Dateien von Linux Mint einbaute und über die Website dieser Linux-Distribution verteilte.
Entdeckt wurde Amnesia auf digitalen Videorekordern mit einer Sicherheitslücke, die schon vor einem Jahr bekannt – aber offenbar noch immer nicht behoben wurde. Wie die Sicherheitsforscher herausfanden, weisen rund 227.000 Geräte diese Schwachstelle auf. Diese stammen zwar alle von einem Hersteller namens TVT Digital, wurden aber unter verschiedensten Marken weltweit von über 70 Anbietern verkauft.
Nicht die für Angriffe anfälligen Videorekorder sind dabei der interessanteste Aspekt. Es ist vielmehr ein weiterer Beleg für die Anfälligkeit von vernetzten Geräten im Internet der Dinge (Internet of Things, IoT), bei denen es sich nicht um herkömmliche IT-Systeme handeln muss.
Die neuartige Malware sucht aktiv nach anfälligen Systemen, um sie durch Remotecodeausführung vollständig zu übernehmen. Wie bei Tsunami kann ein entstehendes Botnet für Denial-of-Service-Angriffe genutzt werden. Palo Alto hält ähnlich breit angelegte DDoS-Attacken wie durch Mirai-Botnets für möglich.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
