Trojaner konzentriert sich auf Linux-Server

BetriebssystemSicherheitSicherheitsmanagementWorkspace
Linux-Security( (Quelle: Security Origin)

Der Schädling Linux.Sshdkit bereichert sich an Passwörtern auf den vermeintlich sicheren Linux-Servern, berichtet Doctor Web. Erst durch eine “Daten-Entführung” habe man nachweisen können, dass die Malware Login-Daten an andere Server schickt. Das Vorgehen des Trojaners sei recht ausgklügelt.

Antivirensoftware-Hersteller Doctor Web erkennt zunehmend Angriffe auf Linux. In eigenen Untersuchungen dieser Vorfälle erkannte das Sicherheitsunternehmen insbesondere den Angreifer Linux.Sshdkit als Bedrohung: Der Trojaner stiehlt Passwörter auf Servern, die mit Linux betrieben werden.

Die Malware ist eine Library-Datei für 32- und 64-Bit-Linux-Versionen des freien Betriebssystems. Sie nutzt Lecks n den Servern aus, um an ihre Beute zu kommen. Wie sich der Trojaner verbreitet, sei noch nicht ganz klar.

Derzeit besonders aktiv ist Sshdkit 1.2.1, doch auch die frühere Variante 1.0.3 sei noch am Abgrasen der Serverdaten – und schon länger in Umlauf, berichtet der Security-Anbieter.

funktionsweise-ssdhkit
Der Linux-Trojaner Sshdkit generiert IP-Adressen, um seinen Datendiebstahl unbemerkt weiterzusenden. (Diagramm: Doctor Web)

Ist die Malware erst einmal installiert, injiziert sie ihren Code in den sshd-Prozess und nutzt dessen Autorisierungs-Routinen. “Sobald eine Session gestartet wird und ein Nutzer seinen Benutzernamen und das Passwort eingegeben hat, sendet der Trojaner diese Informationen über UDP zu einem Remote-Server” erklärt Doctor Web in seiner Warnmeldung. “Die IP vom Control Server ist in die Malware fest einprogrammiert. Der Trojaner erzeugt allerdings alle zwei Tage eine neue Befehls-Server-Adresse durch die Verwendung einer nicht-trivialen Routine”, erkennt das Sicherheitsunternehmen die Raffinesse des Schädlings an.

Linux.Sshdkit verwende einen speziellen Algorithmus um zwei DNS-Namen zu generieren, und wenn sich beide auf die gleiche IP-Adresse beziehen würden, werde diese Adresse zu einer anderen IP konvertiert – auf die der Trojaner die gestohlenen Informationen sendet.

Mit einer Umleitung als Falle (einem Sinkhole) “entführten” die Doctor Web-Analysten den Linux.Sshdkit Kontroll-Server und bestätigten somit, dass der Trojaner gestohlene Login-Daten und Passwörter zu Remote-Hosts sendet.

Das Unternehmen  empfiehlt, dass alle Administratoren von Linux-Servern einen System-Check durchführen. Wenn die Datei /lib/libkeyutils (von 20 bis 35 KByte) im System gefunden werde, sei es ein Zeichen für eine Infektion.

(Quelle Artikelbild: Securityorigin.com)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen