Botnet greift Linux-Server an

Kein System ist unangreifbar. Linux-basierte Malware ist weniger verbreitet als Schadsoftware für Windows und wird daher von der Sicherheits-Community weniger genau unter die Lupe genommen. Allerdings laufen viele geschäftskritische Systeme auf Linux-Systemen, und Malware, die sich Zugang zu diesen Systemen verschafft, kann bei Unternehmen, die ihre Server nicht richtig absichern, erhebliche Störungen und irreparable Schäden verursachen.

Die neueste dieser Bedrohungen für Linux trägt den Namen DreamBus. Laut der Sicherheitsfirma Zscaler ist diese neue Bedrohung eine Variante eines älteren Botnetzes namens SystemdMiner, das erstmals Anfang 2019 gesehen wurde, aber mittlerweile stark verbessert wurde.

Derzeit zielt das Botnet auf Anwendungen auf Unternehmensebene ab, die auf Linux-Systemen laufen. Zu den Zielen gehört Anwendungen wie PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack und der SSH-Dienst.

Einige dieser Apps werden mit Brute-Force-Angriffen gegen ihre Standard-Administrator-Benutzernamen angegriffen, andere mit bösartigen Befehlen, die an exponierte API-Endpunkte gesendet werden, oder über Exploits für ältere Sicherheitslücken.

Die DreamBus-Malware arbeitet ähnlich wie ein Wurm. Die Schadsoftware verbreitet sich mit einer Vielzahl von Methoden sehr effektiv über das Internet und lateral durch ein internes Netzwerk. Zu diesen Techniken gehören zahlreiche Module, die implizites Vertrauen, schwache Kennwörter und nicht authentifizierte Schwachstellen bei der Remotecodeausführung (RCE) in beliebten Anwendungen ausnutzen, darunter Secure Shell (SSH), IT-Administrationstools, eine Reihe von Cloud-basierten Anwendungen und Datenbanken. Diese speziellen Anwendungen werden angegriffen, da sie oft auf Systemen mit leistungsstarker Hardware mit viel Speicher und leistungsstarken CPUs ausgeführt werden.

Wenn  die DreamBus-Bande auf einem Linux-Server Fuß fassen kann, wird sie eine Open-Source-App herunterladen und installieren, die die Kryptowährung Monero (XMR) schürft. Darüber hinaus wird jeder der infizierten Server auch als Bot in der DreamBus-Operation verwendet, um weitere Brute-Force-Angriffe gegen andere mögliche Ziele zu starten.

Zscaler sagte auch, dass DreamBus eine ganze Reihe von Maßnahmen ergriffen hat, um eine einfache Entdeckung zu verhindern. Eine davon war, dass alle mit der Malware infizierten Systeme mit dem Command-and-Control (C&C)-Server des Botnets über das neue DNS-over-HTTPS (DoH)-Protokoll kommunizierten. DoH-fähige Malware ist sehr selten, da sie sehr komplex einzurichten ist.

Um zu verhindern, dass der C&C-Server abgeschaltet wird, hat die DreamBus-Gang ihn außerdem im Tor-Netzwerk gehostet – über eine .onion-Adresse. Brett Stone-Gross von Zscaler glaubt, dass es sich um ein Botnet handelt, das von Russland oder Osteuropa aus entwickelt und betrieben wird.

„Updates und neue Befehle werden ausgegeben, die typischerweise gegen 9:00 Uhr Moskauer Standardzeit (MSK) beginnen und etwa um 18:00 Uhr MSK enden“, so der Forscher. Stone-Gross warnt Unternehmen davor, dieses Botnetz auf die leichte Schulter zu nehmen.

Zwar betreibt das Botnet im Moment nur einen Cryptocurrency-Miner, aber der Zscaler-Forscher glaubt, dass die Betreiber jederzeit auf gefährlichere Nutzlasten wie Ransomware oder Datendiebstahl umsteigen könnten.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago