Linux-Rootkit analysiert

10.02.2015

Die Firma FireEye hat einen ausgefeilten DDoS-Wurm analysiert, der sich teilweise als Rootkit auf Linux-Systemen einnistet. 

Unter dem Titel "Anatomy of a Brute Force Campaign: The Story of Hee Thai Limited" hat die Firma FireEye die ausführliche Analyse eines DDoS-Wurms veröffentlicht, der erstmals im September 2014 entdeckt wurde. Zugang zu den angegriffenen Rechnern versucht die Malware sich über eine SSH-Brute-Force-Attacke zu verschaffen, wobei FireEye bei den eigenen Systemen bis zu 20.000 ausprobierte Passwörter pro Rechner registrierte (solchen Angriffen lässt sich beispielsweise durch Fail2ban begegnen). Weil die Angriffe aus einem IP-Adressenblock stammen, der einer gewissen "Hee Thai Limited" gehören, haben die Security-Experten dem Angriff diesen Namen gegeben.

Haben die Angreifer Zugriff auf einen Rechner, dringen sie durch SSH-Remote-Befehle weiter vor, die normalerweise nicht geloggt werden und somit meistens unentdeckt bleiben. Im weiteren Verlauf versucht die Malware die auf dem Rechner laufende Kernel-Version zu ermitteln und auf einem eigenen Server ein dafür passendes Rootkit zu compilieren. Nach erfolgreicher Installation läuft auf dem angegriffenen System die XOR.DDoS-Software, die ferngesteuert Denial-of-Service-Attacken ausführen kann. In der Praxis hat FireEye bisher 42 individuell auf das Zielsystem zugeschnittene Malware-Varianten beobachtet. 

Alternativ oder ergänzend zum Einsatz von Fail2ban empfehlen die Security-Experten den Verzicht auf passwortbasierte SSH-Logins und stattdessen die Verwendung von SSH-Key-Authentifizierung. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Rootkits finden

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018