Kryptowährungs-Miner Malware für Linux Systeme erhöht die Tarnung über Rootkits

Originalbeitrag von Augusto II Remillano, Kiyoshi Obuchi und Arvin Roi Macaraeg


Mit steigender Beliebtheit der Kryptowährungen ist es nicht weiter verwunderlich, dass Cyberkriminelle verschiedene Kryptowährungs-Miner entwickeln oder sie verfeinern. Kürzlich fanden die Sicherheitsforscher von Trend Micro wieder eine Kryptowährungs-Mining Malware (Coinminer.Linux.KORKERDS.AB), auf Linux-Systeme zielt. Bemerkenswert an der Schadsoftware ist die Tatsache, dass sie eine Rootkit-Komponente mit einbindet (Rootkit.Linux.KORKERDS.AA), die das Vorhandensein des bösartigen Prozesses vor Monitoring-Tools versteckt. Das infizierte System zeigt lediglich Performance-Probleme. Die Malware kann sich auch selbst und ihre Konfigurationsdatei updaten und upgraden.

Das Rechtemodell in Unix und Unix-ähnlichen Betriebssystemen wie Linux erschwert die Ausführung von Executables mit Privilegien. Daher nehmen die Forscher an, dass der Infektionsvektor des aktuellen Kryptowährungs-Miners ein bösartiges Drittanbieter/nicht offizielles oder kompromittiertes Plugin (z.B. Media-Streaming Software) ist. Wird ein solches Plugin installiert, müssen Admin-Rechte vergeben werden, und im Fall einer kompromittierten Anwendung kann eine Malware mit Privilegien ausgeführt werden. Dies wäre nicht ungewöhnlich, und es haben bereits andere Kryptowährungs-Miner unter Linux diesen Weg als Eintrittspunkt genutzt.

Bild 1: Die Infektionskette der Kryptowährungs-Mining Malware

Technische Einzelheiten zum Ablauf eines solchen Angriffs bietet der Originalbeitrag.

Eine upgedatete Version der Malware beinhaltet die top-Funktion, die für das Herunterladen und die Installation des Rootkits verantwortlich ist. Normalerweise können Prozess-Monitoring-Tools das Vorhandensein eines Kryptowährungs-Miners erkennen. Die Rootkit-Komponente jedoch versteckt den Prozess und bewirkt den hohen Ressourcenverbrauch, auch wenn der maximale CPU-Verbrauch des betroffenen Systems festgestellt wird.

Best Practices und Trend Micro-Lösungen

Auch wenn das Rootkit den hohen CPU-Verbrauch und die Verbindungen, die der Kryptowährungs-Miner knüpft, nicht verbergen kann, so verbessert es die Tarnung. Dank der Fähigkeiten der Malware, sich selbst upzudaten, erwarten die Forscher, dass die Hintermänner noch mehr Funktionen hinzufügen werden, um profitabler zu werden. IT- und Systemadministratoren sollten daher die folgenden die Sicherheitspraktiken beachten:

  • Durchsetzen des Prinzips des „Least Privilege“ durch Deaktivieren, Entfernen oder Minimieren der Nutzung nicht verifizierter Bibliotheken oder Repositories.
  • Härten der Systeme durch die Nutzung geprüfter Sicherheits-Extensions, eine Hilfe etwa bei Fehlkonfigurationen.
  • Verkleinern der Angriffsoberfläche der Systeme durch Policies für die Zugriffskontrolle auf Dateien und System- bzw. Netzwerkressourcen. Auch hilft regelmäßiges Monitoring von Systemen und Netzwerken zur Feststellung von verdächtigen Aktivitäten.
  • Regelmäßiges Patching der Systeme, um die Ausnutzung von Schwachstellen zu verhindern; Einsatz von aktuellen Versionen von serverbasierten Anwendungen, um das Risiko von Kompromittierung zu minimieren, sowie von Sicherheitsmechanismen wie Intrusion Detection und Prevention-Systemen.

Auch sollten Unternehmen Sicherheitslösungen einsetzen, die gegen diese Art von Bedrohung helfen können. Trend Micro XGen™ Security etwa liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Indicators of Compromise (IoCs) sind im Originalbeitrag enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.