Verschlüsselung & Datensicherheit

Gefahr für Linux-Systeme

ESET-Forscher haben kürzlich eine detaillierte Analyse momentan verwendeter OpenSSH Backdoors veröffentlicht. Darunter hat ESET auch zwölf völlig neue Malware-Familien entdeckt, die Linux-Systeme infizieren können.

Die Analyse der ESET-Forscher

In dem Whitepaper ‚The dark side of the ForSSHe. A landscape of OpenSSH Backdoors‘ haben die ESET-Forscher nun die Ergebnisse ihrer Analyse veröffentlicht, wie linux-magazin.de dazu berichtete.

Die Untersuchgen basieren auf einer genaueren Analyse des Windigo-Botnets. Dieses Netz basiert auf der Ebury-OpenSSH-Backdoor, um sich auf Linux-Servern auszubreiten. Nun sind weitere Varianten dieser Backdoor aufgetaucht. Ebury selbst läuft neben Linux auch auf anderen Unix-Systemen wie FreeBSD oder Solaris. Der Angreifer benötigt Root-Zugriff, um die Backdoor zu installieren. Die Backdoor modifiziert zahlreiche SSH-Programme wie beispielsweise ssh, sshd und ssh-add. Auch verändert sie von SSH verwendetet Shared Libraries wie libkeyutils. Danach sammelt Ebury Account-Daten von SSH-Benutzern des Systems, welche dann an Dropzone-Server geschickt werden. Die Daten werden dabei in DNS-Paketen versteckt. Daneben kann sich ein Angreifer auch über eine Root-Shell jederzeit wieder in das System einloggen.

Backdoor in OpenSSH

Die eigentliche Ausbreitung der Malware basiert vermutlich auf Wörterbuch-Attacken, um in OpenSSH-Server einzubrechen. Danach baut die Malware eine Backdoor in OpenSSH ein, so dass Angreifer später wieder Zugriff erlangen. Auch Sicherheitslücken in der Server-Software kommen für den Einbruch in die Systeme in Frage.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben