Hybrid-Trojaner
Foto: Markus Spiske auf Unsplash

Die Zeiten, in denen Linux nicht interessant für Viren und Trojaner war, scheinen vorbei. Der Hybrid-Trojaner Linux.BtcMine.174 bedroht Linux-Installationen gleich auf mehreren Ebenen. Neben Monero-Crypto-Mining tritt er als Keylogger auf, kann Passwörter stehlen, ein Rootkit installieren und DDoS-Attacken fahren.

Schädlinge nachgeladen

Entdeckt wurde Linux.BtcMine.174 von den russischen Sicherheitsforschern des Antivirus-Herstellers Dr. Web. Die Forscher stellten fest, dass nach der Infektion über die Server der Cyber-Kriminellen verschiedene weitere Schad-Software nachgeladen wird. 

Crypto-Währung minen

Der Trojaner ist ein Shell-Script mit rund 1.000 Zeilen. Hauptaufgabe des Schädlings ist das Mining der Crypto-Währung Monero auf den befallenen Rechnern.  Nach der Infektion, bei der versucht wird, das Script in ein Verzeichnis mit Schreib- und Leserechten zu installieren prüft es zunächst, ob der Server der Trojaner-Entwickler erreichbar ist, um zusätzliche Module nachladen zu können.

Die schmutzige Kuh herausgeholt

Reichen die bei der Infektion erlangten Rechte nicht aus, versucht die Schad-Software, die beiden bereits seit Jahren geschlossenen Sicherheitslücken CVE-2013-2094 und CVE-2016-5195, auch als Dirty Cow bekannt, auszunutzen, um höhere Rechte zu erlangen.

Nach der Installation des Monero-Miners prüft das Script den Rechner auf das Vorhandensein weiterer Mining-Software, um diese zu deaktivieren. Dann wird der Bill Gates Trojaner (PDF) nachgeladen, der DDoS-Attacken mit einem selbst erstellten Botnet durchführen kann.

Rootkit inklusive

Laut Dr.Web fügt sich der Trojaner dann als Autorun-Eintrag in Dateien wie /etc/rc.local, /etc/rc.d/.. und /etc/cron.hourly ein und lädt anschließend ein Rootkit herunter und startet es. Das Rootkit hat unter anderem die Fähigkeit, benutzerdefinierte Passwörter für den su-Befehl zu entwenden und Dateien im Dateisystem, in Netzwerkverbindungen und laufenden Prozessen zu verstecken.

Weiterverbreitet

Doch damit noch nicht genug, der Trojaner versucht, weitere Rechner zu infizieren und sammelt dazu Informationen über alle entfernten Server, die der infizierte Rechner per SSH kontaktiert hat. Dann werden, wenn möglich, die zugehörigen Anmeldeinformationen gestohlen. Daher vermuten die Forscher, dass die Weiterverbreitung per SSH der Hautptverteilungsweg des Trojaners ist. 

Derzeit wenig Gefahr

Insgesamt wird die Gefahr die von diesem Trojaner ausgeht, derzeit von Fachleuten trotzt seiner Komplexität als relativ gering angesehen. In letzter Zeit werden häufiger Schadsoftware und Sicherheitslücken aus unterschiedlichen Gründen hochgespielt. Hier könnte es der Wunsch von Dr. Web sein, seinen Absatz von Antivuren-Software zu erhöhen. Die Hashes zur Überprüfung, ob eine Infektion vorliegt, finden sich jedenfalls auf GitHub. Ein aktueller Kernel der Reihe 4.19 reicht aber bereits zur Abwehr aus.

Beitrag kommentieren

Alle Kommentare
  • Klaus Meier

    27.11.2018, 15:36 Uhr

    Vorsicht mit dieser Meldung. Mit der hat sich Heise gestern schon blamiert. Da gab es doch glatt den Satz: “Der Infektionsweg ist nicht bekannt”. Tja, das ist doch der Dreh- und Angelpunkt, wie kommt das Teil auf meine Kiste? Muss ich es mir manuell installieren? Wie im Artikel, im Gegensatz zu Heise, richtig ausgeführt, sind die beiden CVEs schon seit Ewigkeiten geschlossen. Und wie soll das Teil dann an root kommen ohne das ich es selber mache? Und wie kann es sich ohne root in /etc/cron.hourly/ installieren?

    ls -l /etc/cron.hourly/
    ls: Öffnen von Verzeichnis ‘/etc/cron.hourly/’ nicht möglich: Keine Berechtigung

    Aber jetzt kommt die Krönung: Der Artikel bei Dr. Weg. wurde entfernt. auf alle Fälle war er gestern Nachmittag, als ich das bei Heise gelesen habe, nicht mehr vorhanden. Mir gehen 90% dieser Meldungen nur auf den Sack. Weil ich zum einen davon ausgehe, dass 90% dieser Schädlinge von den AV-Herstellern stammen, damit sie weiterhin ihren Krempel verkaufen können. Und 90% dieser Meldungen, besonders wenn sie von Heise-Security kommen, sind einfach nur Bullshit.

    Gibt es eine Person, die bestätigen kann, dass sie sich diesen Trojaner eingefangen hat?

    • Ferdinand Thommes

      27.11.2018, 15:51 Uhr

      Das ganze ist schon recht fishy. Aber das die Lücken geschlossen sind heißt ja nicht, das sie nicht mehr in ungepatchter Form existieren. Der Artikel von Dr. Web existiert, hab ich ja im 2. Absatz verlinkt. Allerdings vermisse ich auch einen Hinweis, wo das Script zu finden sein soll. Auszüge sind ja bei Dr. Web zu finden.

  • Fryboyter

    27.11.2018, 18:15 Uhr

    @Klaus Meier

    Ich habe heute schon ein paar Artikel zu dem Thema gesehen in denen davon ausgegangen wird, dass die Infektion über schlecht gesicherte bzw. gestohlene SSH-Zugänge erfolgt. Bestätigt ist das aber nicht. Wie ich Dr. Web kenne wird man vermutlich auch nie erfahren wie die Infektion tatsächlich stattfindet.

    • Ferdinand Thommes

      27.11.2018, 18:48 Uhr

      Da kannst du wohl recht haben. Ich versuch mal, da dran zu bleiben.

  • Klaus Meier

    27.11.2018, 20:07 Uhr

    Was mich an dem ganzen so stört ist immer diese Formulierung, entdeckt wurde der Trojaner von XYZ. Ja wie denn? Haben die Rechner im Netz, wo alle bekannten Sicherheitslücken implementiert sind, in der Hoffnung sich etwas einzufangen? Oder normale Rechner, wo gesucht wird, ob man sich etwas eingefangen hat? Oder scannen sie alle Rechner im Netz? Das jemand im Outlook auf eine pdf.exe klickt und damit ganze Krankenhäuser lahmlegt, das ist hinlänglich verifiziert. Aber wie ist Dr. Web zu diesen Trojaner gekommen?

    Aber es gibt Null Informationen, dass dieser (und auch viele andere) Schädling jemals außerhalb der Labors der Antivirenhersteller gesichtet wurde.

    Spectre und Meltdown wurden im Gegensatz dazu in freien Wildbahn als existent nachgewiesen. Nur nicht von Norton oder Dr. Web. Ich kann auf meinem Rechner, bei dem ich alle Zugriffsrechte habe, die tollsten Sachen machen. Aber wie bekomme ich das auf einen anderen Rechner? Da beginnt das Problem. Und genau dazu gibt es in diesem Fall Null Informationen. Ohne Infektionsweg ist das nichts anderes als Bullshit.

  • Uwe

    28.11.2018, 00:48 Uhr

    Hier steht noch was ->CVE-2013-2094<- dazu.
    Ich als nur Linux-Anwender versteh nur "Bahnhof" .

    teilweiser Textauszug:

    A closer look at a recent privilege escalation bug in Linux (CVE-2013-2094)

    tl;dr

    This article is going to explain how a recent privilege escalation exploit for the Linux kernel works. This exploit affects CentOS 5 and 6 as well as other Linux distributions. Linux kernel version 2.6.37 to 3.8.9 are affected by this exploit. I will explain this exploit from the kernel side and the userland side to help readers get a better understanding of how exactly it works.

    I did not write the original exploit and I did not discover this vulnerability. Full credit goes to the original author of the exploit. I don’t do computer security in any professional capacity, but I do think unraveling exploits is fun and interesting.

    First, let’s start….

    Quelle:

    http://timetobleed.com/a-closer-look-at-a-recent-privilege-escalation-bug-in-linux-cve-2013-2094/

  • Uwe

    28.11.2018, 00:59 Uhr

    Und hier etwas bezüglich: CVE-2016-5195

    Dirty COW (CVE-2016-5195) is a privilege escalation vulnerability in the Linux Kernel

    Quelle:

    https://dirtycow.ninja/

  • Gorja

    29.11.2018, 23:55 Uhr

    … Echt mieser Artikel… Clickbait!

    Ohne Sinn und Verstand von heise kopiert, keine Belege, keine Infos, kein technisches Wissen und ohne nachzudenken gepostet… Quelle dr.web ? Warum nicht Wikipedia oder google.de?! Wenigstens nen geschwärzten oder geschnittenen POC? also nur rein hypotetisch ne Bedrohung? Davon habe ich hier auch nen paar auf der Platte… Bisher aber noch nicht geschrieben… … 😉 11eins11elf1
    Mein Rootkit heißt btw. su(do) … Bwaaahahahaaa… Lern doch bitte erstmal die Vokabeln…

    Wer heute noch dirty copy-on-write ungepatcht laufen hat und einem Script auf seinem System blind execute-Rechte gibt, der hat es nicht anders verdient. (: und wem das alles zu hoch oder zu heiß ist: keine Rechner am/im Internet betreiben und Rechenschieber benutzen 😉

  • Nick

    30.11.2018, 04:12 Uhr

    Es ist doch nichts neues, warum also die Aufregung? In 99% aller Fälle, ist Windows akut bei solchen Meldungen betroffen. Und nahezu alles was bislang mit Linux betitelt wurde, lag entweder an extrem schlechter Systemwartung, miesen Passwörtern, oder an längst geschlossenen Sicherheitslücken. Wenn diese mitunter auch nicht so einfach auszunutzen sind, und eine geradezu phänomenale Fahrlässigkeit des Nutzers, samt dessen Mitwirkung erfordern, dann ist das ohnehin eine Luftnummer. Und dabei ist ja noch nicht mal explizit die Rede von Sicherheitsmechanismen und dergleichen. Aber abgesehen davon, erwarte ich eigentlich auch nichts anderes, von Herstellern von Antivirenprogrammen. Mir kommt es so vor, als ginge es dabei nur um Werbung, damit Dr. Web auch mal wieder Aufmerksamkeit bekommt. Alles in allem nur noch langweilig, wie die bei Heise mittlerweile sehr auf Clickbait ausgerichteten Artikel, wenn nicht mal mehr die Quelle geprüft wird.