Crypto-Miner für Linux stiehlt Root-Passwort und schaltet Virenschutz ab
Der Trojaner verfügt über einen ungewöhnlich großen Funktionsumfang. Die Verbreitung erfolgt offenbar über SSH-Verbindungen. Die Schadsoftware erlangt Root-Rechte unter anderem durch ungepatchte Sicherheitslücken, darunter die Dirty-Cow-Schwachstelle.
Der russische Sicherheitsanbieter Dr. Web hat einen neuen Trojaner entdeckt, der nicht Windows, sondern Linux ins Visiert nimmt. Die als Linux.BtcMine.174bezeichnete Schadsoftware zeichnet sich offenbar durch eine hohe Komplexität und eine Vielzahl von Funktionen aus, wie sie sonst nur bei Windows-Malware üblich ist. Für ihre Hintermänner soll sie letztlich aber in erster Linie Cryptowährungen schürfen.
Der Trojaner selbst ist ein Shell-Script mit mehr als 1000 Zeilen Code. Es ist zudem die erste Datei, die im Rahmen der Infektion auf einem Linux-System ausgeführt wird. In einem ersten Schritt sucht das Skript einen Ordner mit Schreibrechten, um sich dorthin zu kopieren und zu einem späteren Zeitpunkt weitere Module herunterzuladen.
Danach kommen zwei schon seit Jahren bekannte Sicherheitslücken zum Einsatz, die jeweils eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. Darunter ist die Kernel-Schwachstelle mit der Kennung CVE-2016-5195 namens Dirty Cow, die zuletzt auch für Angriffe auf Android und Drupal-Websites benutzt wurde und einen Root-Zugriff erlaubt.
Die neuen vollständigen Benutzerrechte erlauben es dem Trojaner schließlich, sich als lokaler Daemon einzurichten und seine eigentliche Aufgabe zu erfüllen: das Schürfen von Cryptowährungen. Zu diesem Zweck prüft der Schädling, ob bereits andere Prozesse für das Cryptomining ausgeführt werden und beendet diese. Erst danach werden die für die Gewinnung der Cryptowährung Monero benötigten Komponenten heruntergeladen und gestartet.
Um sich vor einer Entdeckung zu schützen sucht der Trojaner aber auch nach aktiver Antivirensoftware für Linux und beendet deren Prozesse. Unter anderem geht der Trojaner gezielt gegen Produkte wie ClamAV, Avast, AVG, Eset und Dr. Web vor.
Darüber hinaus wird laut der Analyse von Dr. Web auch noch ein Rootkit installiert. Es hat die Fähigkeit, von Nutzern eingegebene Passwörter für den SU-Befehl auszulesen. Außerdem soll der Trojaner in der Lage sein, Dateien, Netzwerkverbindungen und laufende Prozesse zu verstecken.
Zum Funktionsumfang des Trojaners gehört aber auch eine Suche nach weiteren Servern, zu denen der infizierte Host via SSH eine Verbindung aufnehmen kann. Anschließend soll er versuchen, auch die entfernten Server zu infizieren, was laut Dr. Web auch der wichtigste Verbreitungsweg des Trojaners sein soll. Zu diesem Zweck soll der Trojaner auch SSH-Anmeldedaten ausspähen, um auch gut gesicherte SSH-Verbindungen zu knacken und weitere Linux-Systeme ohne Wissen der jeweiligen Eigentümer zu infizieren.
061384 061385 akkus für BOSE SOUNDLINK Mini serie
063404 akkus für BOSE SOUNDLINK Mini I serie
9TV5X akkus für Dell XPS 12 9250 Latitude 12 7275 serie
A1406 akkus für Apple MacBook Air 11″ A1370 2011 2012
A1406 A1370 akkus für MacBookAir5.1 MacBook Air 11″
FG6Q akkus für AMAZON FG6Q 541385760001 Pad
88796akkus für Bose Soundlink Mini 2 Pack
HF12 Philips HF3520/3485/3480/3471/3470 Wake-Up Light EXCELLENT Netzteile/Adapters
T9500C akkus für Samsung Galaxy Note Pro12.2 Galaxy SM-P900 P905
SM-T900 akkus für Galaxy Tab Pro 12.2 P900 P901 P905 T9500C/E akku +TOOLS
Der russische Sicherheitsanbieter Dr. Web hat einen neuen Trojaner entdeckt, der nicht Windows, sondern Linux ins Visiert nimmt. Die als Linux.BtcMine.174bezeichnete Schadsoftware zeichnet sich offenbar durch eine hohe Komplexität und eine Vielzahl von Funktionen aus, wie sie sonst nur bei Windows-Malware üblich ist. Für ihre Hintermänner soll sie letztlich aber in erster Linie Cryptowährungen schürfen.
Der Trojaner selbst ist ein Shell-Script mit mehr als 1000 Zeilen Code. Es ist zudem die erste Datei, die im Rahmen der Infektion auf einem Linux-System ausgeführt wird. In einem ersten Schritt sucht das Skript einen Ordner mit Schreibrechten, um sich dorthin zu kopieren und zu einem späteren Zeitpunkt weitere Module herunterzuladen.
Danach kommen zwei schon seit Jahren bekannte Sicherheitslücken zum Einsatz, die jeweils eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. Darunter ist die Kernel-Schwachstelle mit der Kennung CVE-2016-5195 namens Dirty Cow, die zuletzt auch für Angriffe auf Android und Drupal-Websites benutzt wurde und einen Root-Zugriff erlaubt.
Die neuen vollständigen Benutzerrechte erlauben es dem Trojaner schließlich, sich als lokaler Daemon einzurichten und seine eigentliche Aufgabe zu erfüllen: das Schürfen von Cryptowährungen. Zu diesem Zweck prüft der Schädling, ob bereits andere Prozesse für das Cryptomining ausgeführt werden und beendet diese. Erst danach werden die für die Gewinnung der Cryptowährung Monero benötigten Komponenten heruntergeladen und gestartet.
Um sich vor einer Entdeckung zu schützen sucht der Trojaner aber auch nach aktiver Antivirensoftware für Linux und beendet deren Prozesse. Unter anderem geht der Trojaner gezielt gegen Produkte wie ClamAV, Avast, AVG, Eset und Dr. Web vor.
Darüber hinaus wird laut der Analyse von Dr. Web auch noch ein Rootkit installiert. Es hat die Fähigkeit, von Nutzern eingegebene Passwörter für den SU-Befehl auszulesen. Außerdem soll der Trojaner in der Lage sein, Dateien, Netzwerkverbindungen und laufende Prozesse zu verstecken.
Zum Funktionsumfang des Trojaners gehört aber auch eine Suche nach weiteren Servern, zu denen der infizierte Host via SSH eine Verbindung aufnehmen kann. Anschließend soll er versuchen, auch die entfernten Server zu infizieren, was laut Dr. Web auch der wichtigste Verbreitungsweg des Trojaners sein soll. Zu diesem Zweck soll der Trojaner auch SSH-Anmeldedaten ausspähen, um auch gut gesicherte SSH-Verbindungen zu knacken und weitere Linux-Systeme ohne Wissen der jeweiligen Eigentümer zu infizieren.
061384 061385 akkus für BOSE SOUNDLINK Mini serie
063404 akkus für BOSE SOUNDLINK Mini I serie
9TV5X akkus für Dell XPS 12 9250 Latitude 12 7275 serie
A1406 akkus für Apple MacBook Air 11″ A1370 2011 2012
A1406 A1370 akkus für MacBookAir5.1 MacBook Air 11″
FG6Q akkus für AMAZON FG6Q 541385760001 Pad
88796akkus für Bose Soundlink Mini 2 Pack
HF12 Philips HF3520/3485/3480/3471/3470 Wake-Up Light EXCELLENT Netzteile/Adapters
T9500C akkus für Samsung Galaxy Note Pro12.2 Galaxy SM-P900 P905
SM-T900 akkus für Galaxy Tab Pro 12.2 P900 P901 P905 T9500C/E akku +TOOLS
0 Response to "Crypto-Miner für Linux stiehlt Root-Passwort und schaltet Virenschutz ab"
Kommentar veröffentlichen