Malware Linux.BackDoor.Fgt.1 bereitet geschickt DDos-Angriffe vor
Mitarbeiter des russischen Security-Software-Anbieters Doctor Web haben einen Linux-Trojaner entdeckt, der Denial-of-Service-Attacken in größerem Ausmaß starten kann. Den Schädling benannten sie mit Linux.BackDoor.Fgt.1.
Sobald er auf einem befallenen Gerät startet, prüft er erst einmal, ob es eine Internetverbindung gibt, indem er auf einen der Google-Server zugreift. Findet er keine, bleibt er ruhig, um nicht von verhaltensbasierenden Systemen erkannt zu werden. Ist die Verbindung erfolgreich, erfasst die Malware IP- und MAC-Adresse des infizierten Systems. Danach versucht sie, diese Informationen und Daten über die eigene Version an einen Steuer-Server zu senden.
Schließlich wartet Linux.BackDoor.Fgt.1 auf einen Datenblock, der einen auszuführenden Befehl enthält. Wenn vom Verwaltungsserver ein Ping-Befehl eintrifft, antwortet der Trojaner mit Pong und fährt mit seiner Mission fort. Beim Befehl DUP schließt er seine Arbeit ab.
“Der Trojaner kann in einem von den Cyber-Kriminellen gestarteten Zyklus gleichzeitig 256 entfernte IP-Adressen scannen”, erklären die Security-Forscher. Bei der Erfassung von IP-Adressen für einen späteren Angriff prüft er, ob diese in Bereichen liegen, die in lokalen Netzwerken verwendet werden. Solche IP-Adressen werden ignoriert, denn lokale Netzadressen können keine externen Angriffe durchführen – eine Art Rechenpower-Management im Vorfeld einer Attacke optimiert so die Angriffe.
Wurde eine Internetverbindung aufgebaut, sucht der Trojaner eine Verbindung zu einem Port des Fernknotens via Telnet und verlangt nach einem Benutzernamen. Nachdem er einen Benutzernamen verschickt hat, analysiert er die Rückmeldungen – wenn er auf die Aufforderung zur Passworteingabe trifft, versucht er sich durch das multiple Auswählen von Passwörtern anzumelden. Bei Erfolg versendet Linux.BackDoor.Fgt.1 eine der gekaperten oder selbst produzierten IP-Adressen im Adressbereichsumfeld, einen Benutzernamen und ein Passwort für das Endgerät, zu dem entsprechende Benutzerdaten erfolgreich gefunden wurden.
Auf einem Server der Malwareautoren fanden die Sicherheitsforscher eine Menge ausführbarer, gefährlicher Dateien für unterschiedliche Versionen und Installationsdateien von Linux, unter anderem für Systeme mit der Architektur von MIPS- und Sparc-Servern. Mit ihnen kann der Trojaner nicht nur die mit dem Internet verbundenen Server und Workstations unter Linux, sondern zum Beispiel auch Router infizieren.
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.
Tipp: Sind Sie sicher bei der Sicherheit? Prüfen Sie Ihr Wissen mit 15 Fragen auf silicon.de!