{"id":191325,"date":"2017-06-13T01:20:00","date_gmt":"2017-06-12T23:20:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191325"},"modified":"2022-10-11T00:02:38","modified_gmt":"2022-10-10T22:02:38","slug":"linux-miner-malware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/06\/13\/linux-miner-malware\/","title":{"rendered":"Linux Miner-Malware (Crypto-Miner)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Auch Linux-Systeme sind durch Malware bedroht. Aktuell machen zwei Miner-Sch\u00e4dling Jagd auf Raspberry Pi und Samba-System<\/p>\n<p><!--more--><\/p>\n<h2>Miner SambaCry zielt auf Linux<\/h2>\n<p>Ungepatchte Linux-Server, auf denen eine Sicherheitsl\u00fccke in Samba existiert, sind f\u00fcr eine Malware mit dem Namen SambaCry anf\u00e4llig. Es handelt sich um einen Miner, der Cryptogeld mit den gekaperten Samba-Servern berechnet.<\/p>\n<p>Der Sch\u00e4dling nutzt die in diesem Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/26\/sicherheitslcke-auf-samba-servern-patchen-angesagt\/\">Sicherheitsl\u00fccke auf Samba-Servern\u2013Patchen angesagt<\/a> angesprochene Sicherheitsl\u00fccke CVE-2017-7494 in der Samba-Software. Die Remote Code Execution-Schwachstelle existiert ab Samba 3.5.0 und h\u00f6her. Eigentlich stehen Patches f\u00fcr die g\u00e4ngigen Distributionen zur Verf\u00fcgung.<\/p>\n<p>Seit dem 30. Mai 2017 werden Angriffe auf Samba-Server \u00fcber das SMB-Protokoll beobachtet. Sicherheitsforscher bezeichnen daher die Schadsoftware als SambaCry oder (in Anspielung auf den EthernalBlue-Exploit) als EternalRed. Der Exploit erm\u00f6glicht dem Angreifer eine Pipe unter dem Linux Samba-Server zu \u00f6ffnen und dann Schadcode auf den Server zu laden.<\/p>\n<p>Beim aktuellen Angriff werden acht Dateien auf den Linux-Rechner des Nutzers hochgeladen. Ist dies erfolgreich m\u00f6glich, werden zwei Malware-Programme nachgeladen. Eines ist eine Remote Shell mit vollen root-Zugriff. Die zweite Software ist eine modifizierte Version des Crypto-Miners <em>cpuminer <\/em>(wird zwischenzeitlich als <em>EternalMiner <\/em>bezeichnet). Details zur Malware finden sich in <a href=\"https:\/\/securelist.com\/sambacry-is-coming\/78674\/\" target=\"_blank\" rel=\"noopener\">diesem Kaspersky-Beitrag<\/a>. (<a href=\"https:\/\/web.archive.org\/web\/20220406073157\/https:\/\/www.bleepingcomputer.com\/news\/security\/linux-servers-hijacked-to-mine-cryptocurrency-via-sambacry-vulnerability\/\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n<h2>Miner zielt auf Raspberry Pi<\/h2>\n<p>Ein zweiter Linux-Miner (Linux.MulDrop.14) greift Raspberry Pi-Systeme an.\u00a0 Entdeckt hat den Miner der russische Antivirus Anbieter Dr.Web. Die Malware wurde erstmals Mitte Mai in Form eines Scripts, welches komprimierte und verschl\u00fcsselte Anwendungsfunktionen enthielt, gesichtet.<\/p>\n<p>Befallen werden die Raspberry Pi-Systeme, sofern der Benutzer die SSH-Ports f\u00fcr eine externe Kommunikation offen l\u00e4sst. Als erstes \u00e4ndert die Malware das Kennwort f\u00fcr das pi-Konto des infizierten Raspberry Pi auf folgenden Wert:<\/p>\n<pre><code>\\$6\\$U1Nu9qCp\\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1<\/code><\/pre>\n<p>Dann beendet der Sch\u00e4dling einige Prozesse und installiert Bibliotheken (inklusive ZMap und sshpass), die er braucht. Anschlie\u00dfend startet ein Crypto-Miner, wobei die ZMap-Bibliotheksfunktionen genutzt werden, um das Internet auf andere Raspberry Pi-Systeme mit offenem SSH-Port zu scannen. Wird ein solcher Rechner gefunden, versucht die Malware einen Anmeldeversuch via sshpass am Benutzerkonto <em>pi<\/em> und dem Passwort <em>raspberry<\/em>. Da nur diese Kombination beim Login verwendet wird, zielt die Malware auf den Raspberry Pi. Ein paar zus\u00e4tzliche Informationen finden sich <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/linux-malware-mines-for-cryptocurrency-using-raspberry-pi-devices\/\" target=\"_blank\" rel=\"noopener\">bei Bleeping Computer<\/a> sowie in <a href=\"https:\/\/www.computerhilfen.de\/news\/linux-trojaner-greift-raspberry-pi-an-so-schuetzt-man-sich-0612609.html\" target=\"_blank\" rel=\"noopener\">diesem deutschsprachigen Beitrag<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auch Linux-Systeme sind durch Malware bedroht. Aktuell machen zwei Miner-Sch\u00e4dling Jagd auf Raspberry Pi und Samba-System<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426],"tags":[4305,1018,6269],"class_list":["post-191325","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","tag-linux","tag-malware","tag-miner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191325","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191325"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191325\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191325"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191325"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191325"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}