Es sind zur Zeit nur recht vage Informationen, die ich über Sicherheitsforscher aufgeschnappt habe. Aktuell scheint sich eine Malware, im Gegensatz zu Mirai aber wohl ein Wurm, auf Linux-Systemen zu verbreiten.
Anzeige
Mirai (japanisch Zukunft) ist eine auf Linux abgestimmte Schadsoftware, ein Botnet, welches sich auf über 500.000 Linux IoT-Systemen (Router etc.) einnisten konnte. Die Infrastruktur von Mirai diente dazu, DDoS-Angriffe gegen Bezahlung auf wählbare Ziele durchzuführen. Urheber des Botnetzes waren drei US-Studenten, wie man hier nachlesen kann. Ein Wurm verbreitet sich dagegen über das Internet oder über lokale Netzwerke von Rechner zu Rechner.
Neuer Wurm für Linux entdeckt
Aktuell ist das Ganze noch arg vage, sprich: Es ist bekannt, dass da eine Malware aktiv ist, die auf Linux-Systeme zielt. Aber es gibt keine Details. Alles, was ich bisher weiß, ist diesem Tweet und den Folgetweets zu entnehmen.
Executable is always downloaded from some non-standard port, like
hxxp://212.70.128.162:49707/GFdeDGGhlSAgjPOObAhb
Probably a worm (unlike Mirai), because the uploads come from thousands of different IPs, instead of from a few repositories (like Mirai).
— Vess (@VessOnSecurity) 30. Juni 2018
Die Malware wird von tausenden Stellen mit unterschiedlichen IPs auf Linux-Systeme via Telnet/SSH verbreitet. Mirai nutzte nur einige wenige Rechner zur Verteilung. Daher geht der Sicherheitsforscher von einem Wurm aus, der sich selbst vervielfältigt und weitere Systeme infiziert. Auf Virus Total wird der Schädling von einigen Scannern als Schadsoftware für das ELF-Format von Linux-Anwendungen erkannt.
Anzeige
ESET weist die Malware als Variante von Mirai aus. @VessonSecurity schreibt, dass die Schadsoftware gepackt sei und die Befehle, die abgesetzt werden, polymorph sind. Die ausführbare Datei ist wohl seit einer Woche in Honeypots aufgefallen, aber die Malware muss schon seit Monaten aufgetreten sein, variiert aber häufig ihren Code.
Verbreitung unklar
Twitter-Nutzer @VessonSecurity hat in diesem Tweet eine Karte veröffentlicht, von welchen Ländern der Telnet & SSH Honeypot am häufigsten aufgerufen wird.
Monthly summary of the results from our Telnet & SSH honeypot.
First, the big picture. As usual, the USA holds the top spot.
Note the unusually large number of unique IPs and URLs. The reason is the Mirai-like worm I mentioned the other day. pic.twitter.com/C5mOJTPhJp
— Vess (@VessOnSecurity) 30. Juni 2018
Er schreibt, dass eine Großzahl von Angriffen von der gleichen IP/URL ausgehe, wobei die angreifenden Systeme hauptsächlich in den USA stehen. Aber auch Europa taucht mit Ländern wie Frankreich, Niederlande, England, Italien, Irland, Griechenland, Polen, Rumänien und auch Deutschland in der Karte auf. Als Ursache führt er die oben erwähnte Malware auf. Mal schauen, ob sich dort die kommenden Tage noch Details ergeben.
Anzeige
