Auch Linux-Systeme sind durch Malware bedroht. Aktuell machen zwei Miner-Schädling Jagd auf Raspberry Pi und Samba-System
Anzeige
Miner SambaCry zielt auf Linux
Ungepatchte Linux-Server, auf denen eine Sicherheitslücke in Samba existiert, sind für eine Malware mit dem Namen SambaCry anfällig. Es handelt sich um einen Miner, der Cryptogeld mit den gekaperten Samba-Servern berechnet.
Der Schädling nutzt die in diesem Blog-Beitrag Sicherheitslücke auf Samba-Servern–Patchen angesagt angesprochene Sicherheitslücke CVE-2017-7494 in der Samba-Software. Die Remote Code Execution-Schwachstelle existiert ab Samba 3.5.0 und höher. Eigentlich stehen Patches für die gängigen Distributionen zur Verfügung.
Seit dem 30. Mai 2017 werden Angriffe auf Samba-Server über das SMB-Protokoll beobachtet. Sicherheitsforscher bezeichnen daher die Schadsoftware als SambaCry oder (in Anspielung auf den EthernalBlue-Exploit) als EternalRed. Der Exploit ermöglicht dem Angreifer eine Pipe unter dem Linux Samba-Server zu öffnen und dann Schadcode auf den Server zu laden.
Beim aktuellen Angriff werden acht Dateien auf den Linux-Rechner des Nutzers hochgeladen. Ist dies erfolgreich möglich, werden zwei Malware-Programme nachgeladen. Eines ist eine Remote Shell mit vollen root-Zugriff. Die zweite Software ist eine modifizierte Version des Crypto-Miners cpuminer (wird zwischenzeitlich als EternalMiner bezeichnet). Details zur Malware finden sich in diesem Kaspersky-Beitrag. (via)
Anzeige
Miner zielt auf Raspberry Pi
Ein zweiter Linux-Miner (Linux.MulDrop.14) greift Raspberry Pi-Systeme an. Entdeckt hat den Miner der russische Antivirus Anbieter Dr.Web. Die Malware wurde erstmals Mitte Mai in Form eines Scripts, welches komprimierte und verschlüsselte Anwendungsfunktionen enthielt, gesichtet.
Befallen werden die Raspberry Pi-Systeme, sofern der Benutzer die SSH-Ports für eine externe Kommunikation offen lässt. Als erstes ändert die Malware das Kennwort für das pi-Konto des infizierten Raspberry Pi auf folgenden Wert:
\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1
Dann beendet der Schädling einige Prozesse und installiert Bibliotheken (inklusive ZMap und sshpass), die er braucht. Anschließend startet ein Crypto-Miner, wobei die ZMap-Bibliotheksfunktionen genutzt werden, um das Internet auf andere Raspberry Pi-Systeme mit offenem SSH-Port zu scannen. Wird ein solcher Rechner gefunden, versucht die Malware einen Anmeldeversuch via sshpass am Benutzerkonto pi und dem Passwort raspberry. Da nur diese Kombination beim Login verwendet wird, zielt die Malware auf den Raspberry Pi. Ein paar zusätzliche Informationen finden sich bei Bleeping Computer sowie in diesem deutschsprachigen Beitrag.
Anzeige
Wer in der heutigen Zeit noch immer nicht begriffen hat, dass voreingestellte (Standard-)Kennwörter im ersten Schritt der Inbetriebnahme geändert gehören, dem soll der Pi ruhig unterm Hintern explodieren. Gerade der Pi bietet sich nämlich dafür an, dass er remote verwaltet wird, und da sollte man den Zugang schon absichern.
Für Linux-Nutzer wird das Spielchen mit SambaCry erst dann richtig interessant, wenn auf einem Rechner mit ungepatchtem Samba schon ein cpuminer werkelt. Ich will nicht wissen, wie viele Systeme bislang schon nicht mehr für die eigene Tasche minen, sondern für Fremde, weil die Eigner dieser Maschinen nicht in der Lage sind, ihre Maschinen zu warten und abzusichern.