Skidmap Linux Malware nutzt ein Rootkit gegen die Entdeckung

Originalbeitrag von Augusto Remillano II und Jakub Urbanec , Threat Analysts

Kryptowährungs-Mining Malware ist immer noch eine allgegenwärtige Bedrohung, das zeigen die Erkennungszahlen von Trend Micro aus der ersten Hälfte 2019. Cyberkriminelle verbessern laufend die Fähigkeiten ihrer Malware zur Vermeidung von Entdeckung. So fügen manche eine so genannte „Watchdog“-Komponente hinzu, die sicherstellt, dass ihre illegalen Mining-Aktivitäten auch persistent auf der infizierten Maschine bleiben, während andere auf Linux-Systemen ein LD_PRELOAD-basiertes Rootkit einsetzen als Schutz vor Monitoring-Tools.

Skidmap, eine kürzlich entdeckte Linux Malware, verdeutlicht die steigende Komplexität neuerer Krypto-Mining Malware. Diese Schadsoftware hebt sich durch ein bösartige Kernel-Module ab, die dazu dienen, ihre Mining-Tätigkeit unter dem Radar zu halten. Diese Kernel-Mode Rootkits sind nicht nur schwerer zu erkennen als die im User Mode, Angreifer können sie auch dazu nutzen, um Zugriff auf das betroffene System zu erlangen.

So ist Skidmap in der Lage, ein heimliches Master-Passwort aufzusetzen, mit dem der Schädling Zugriff auf jedes Nutzerkonto im System erlangen kann. Da viele der Routinen von Skidmap einen Root-Zugriff erfordern, sind die Angriffsvektoren, die Skidmap verwendet – sei es durch Exploits, Fehlkonfigurationen oder andere – höchstwahrscheinlich dieselben, die dem Angreifer Root- oder Administratorzugriff auf das System ermöglichen.


Bild. Skidmaps Infektionsablauf

Technische Einzelheiten zum Ablauf beinhaltet der Originalbeitrag.

Best Practices und Lösungen von Trend Micro

Skidmap verwendet recht fortschrittliche Methoden, um sicherzustellen, dass der Schädling und seine Komponenten unentdeckt bleiben. So erschwert beispielsweise die Verwendung von LKM-Rootkits – aufgrund ihrer Fähigkeit, Teile des Kernels zu überschreiben oder zu modifizieren – die Bereinigung gegenüber anderer Malware. Darüber hinaus bietet Skidmap mehrere Möglichkeiten, auf betroffene Computer zuzugreifen, die es ihm ermöglichen, wiederhergestellte oder bereinigte Systeme erneut zu infizieren.

Kryptowährungs-Bedrohungen wirken sich nicht nur auf die Leistung eines Servers oder einer Workstation aus, sie können auch zu höheren Kosten führen und sogar Geschäftsabläufe stören, insbesondere wenn sie zur Ausführung geschäftskritischer Vorgänge verwendet werden. Da Linux in vielen Unternehmensumgebungen eingesetzt wird, sollten Benutzer, insbesondere Administratoren, stets bewährte Verfahren anwenden: Die Systeme und Server auf dem neuesten Stand halten und Patches einspielen (Virtual Patches für Altsysteme), nicht verifizierte Repositories von Drittanbietern meiden und das Prinzip der geringsten Privilegien durchsetzen, um zu verhindern, dass verdächtige und bösartige ausführbare Dateien oder Prozesse ausgeführt werden.

Trend Micro-Lösungen mit XGen™ Security, wie ServerProtect for Linux und Trend Micro Network Defense können bösartige Dateien und URLs erkennen, die mit der Bedrohung zusammenhängen. Trend Micro Smart Protection Suites und Trend Micro Worry-Free™ Business Security beinhalten Verhaltensmonitoring und können zusätzlich vor dieser Art der Bedrohung schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.