Schutzprogramme, Verschlüsselung & Datensicherheit

Sophos warnt vor neuem DDoS-Botnetz

Sophos warnt vor neuem DDoS-Botnetz
Das neue DDoS-Botnetz namens Chalubo attackiert schlecht geschützte SSH-Server.

Im August dieses Jahres hat sich ein neues Botnetz auf den Weg gemacht und attackiert schlecht gesicherte SSH-Server. SophosLabs hat das unter dem Namen Chalubo oder auch ChaCha-Lua-bot aktive Schadprogramm analysiert.

Linux-Server und IoT-Geräte betroffen

Wie Sophos ermittelte ist eine große Anzahl globaler Linux-Server betroffen, die SSH (Secure Shell) für Remote-Administration nutzen. Dazu gehört heutzutage auch die ständig wachsende Anzahl an IoT-Geräten, wie Jörg Schindler im Sophos-Blog dazu erläuterte.

Chalubo scannt dazu im großen Stil IP-Adressen und sucht nach Geräten, die SSH auf Port 22 verwenden. Die gefundenen „Opfer“ werden dann per Brute Force angegangen, indem Standard- oder schwache Passwörter durchprobiert werden. Das ultimative Ziel der Hacker ist es dabei, Malware auf die Geräte herunterzuladen und auszuführen. Dadurch können zu einem beliebigen Zeitpunkt DDoS-Attacken (Distributed Denial of Service) per DNS-, UDP- oder SYN Flood gestartet werden.

Die Ziele von Chalubo

Im Beispiel, das die SophosLabs analysiert haben, war das Angriffsziel eine einzelne Chinesische IP-Adresse, aber grundsätzlich ist jedes Netzwerk anfällig für diese Art der Attacke. Allerdings weisen viele Designelemente der Malware darauf hin, dass vor allem IoT-Geräte im Chalubo-Fokus stehen. Interessant ist außerdem, dass die Schadsoftware einige Code-Elemente aus der Mirai-Malware-Familie enthält, die 2016 mehr als eine halbe Million IoT-Geräte kompromittiert hatte.

Bei der Untersuchung des Command and Control Servers des Angreifers stellten die SophosLabs außerdem fest, dass noch eine zweite Malware namens Linux/DDoS-BD (Linux/BillGates) eingesetzt wird, die mit dem chinesischen Elknot-Botnetz aus dem Jahr 2014 in Verbindung gebracht wird. Wenn allerdings tatsächlich eine größer angelegte Aktion vorbereitet werden sollte, ist es sehr wahrscheinlich, dass Chalubo SSH im Hauptfokus hat, da es häufig als sichere Möglichkeit angesehen wird, nahezu alles zu nutzen, das auf Linux basiert. Allerdings ist SSH bei weitem nicht so gut gesichert wie es sein sollte. Damit ist das Netzwerkprotokoll im besten Fall ein einladendes Ziel für Hacker und im schlechtesten ein Haftbarkeitsthema, da SSH nicht nur für Shell-Logins, sondern auch für Proxy Tunnelling und Datentransfer genutzt werden kann.

Wie kann Linux/Chalubo-A entdeckt werden?

  • Eine Möglichkeit ist es, nach ausgehendem C&C-Traffic auf Port 8852 zu suchen, auch wenn dieser Weg nicht immer genutzt wird.
  • Es ist aber auch empfehlenswert, Logs auf fehlgeschlagene Login-Versuche zu checken oder darauf zu achten, ob Server plötzlich eine ungewöhnlich hohe Bandbreite benötigen.
  • Der bessere Weg ist aber die Vorbeugung, indem Admins SSH sicher einsetzen.
  • Wie bei allen Brute-Force-Attacken kann sich auch Chalubo erst dann so richtig austoben, wenn Standard- oder schwache Passwörter genutzt werden. Folgendes Vorgehen ist allerdings noch besser: Erster Schritt zur Brute-Force-Abwehr sollte ein starkes Passwort sein.
  • Noch besser ist es allerdings, keine Passwörter zu verwenden und stattdessen auf eine SSH-Schlüsselauthentifizierung zu setzen. Hierbei haben Anwender den weiteren großen Vorteil, dass diese Art der Sicherung auch für verschiedene Server genutzt werden kann.

Weiterführende Links:

Schutz vor Malware

Passwortschutz

Schutz vor DDoS-Attacken

Chalubo botnet wants to DDoS from your server or IoT device

Linux/Chalubo-A

sophos.com: Neues DDoS-Botnetz im Anmarsch – Chalubo attackiert schlecht geschützte SSH-Server

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Verschlüsselung & Datensicherheit

Spyware auf EU-Abgeordneten-Handys

Bedrohungen, die speziell auf Android-, Chromebook- oder iOS-Mobilgeräte abzielen, nehmen laut Sicherheitsexperten nicht nur in der Anzahl zu, sondern auch in der Daten-Tiefe, die aus Geräten mittels unberechtigter Zugänge „ausgelesen“ wird.

Verschlüsselung & Datensicherheit

Was bringt 2024? Ist die Zukunft sicher und passwort-frei?

Es ist ein offenes Geheimnis, dass Passwörter nach wie vor eines der Haupteinfallstore für Cyberangriffe sind, weil sich insbesondere schwache Passwörter durch Brute-Force-Angriffe, bei Password-Spraying-Kampagnen oder mittels Social Engineering kompromittieren lassen. Starke Passwörter erhöhen die Sicherheit, wenn sie lang und zufällig sind.

Verschlüsselung & Datensicherheit

Cyber-Crime-Trends: innovative Schadprogramme, aber immer wieder bekannte Phishing-Strategien

Ein führender Anbieter in den Bereichen Cybersicherheit für das Internet of Things sowie verschlüsselte Sprach- und Digitalkommunikation warnt vor einem beunruhigenden Anstieg einzigartiger Schadprogramme.

Trends bei Cyber Crimes 2024: Experten rechnen mit neue Welle an Social-Engineering-Betrugsmaschen und Identitätsdiebstahl

Auch im kommenden Jahr, da sind sich Cyber-Sicherheitsexperten aller Couleur sicher, wird für Unternehmen in puncto Cyber-Bedrohungen von entscheidender Bedeutung sein, dass sie bereit zu fortlaufenden Innovationen sind und die Trends in der Cyber-Bedrohungslandschaft stets im Blick behalten.

Diese Themen könnten Sie auch interessieren!

X
Gefährliche Ransomware SamSam erpresste Millionenbeträge

Gefährliche Ransomware SamSam erpresste Millionenbeträge

Das Sicherheitsunternehmen Sophos hat die Machenschaften der sogenannten SamSam Ransomware über einen Zeitraum von Ende...
oben