Schlagwort-Archive: LINUX

Outlaw greift mit aktualisiertem Kit ältere Miner und mehr Systeme an

Originalbeitrag von Jindrich Karasek, Threat Researcher

Hört man eine Weile nichts von einer cyberkriminellen Gruppe, so bedeutet das nicht unbedingt Inaktivität. So geschehen bei der Hacker-Gruppe Outlaw, die während der letzten Monate anscheinend in Ruhe ihr Toolkit weiter entwickelt hat. Ende letzten Jahres nun stellten die Sicherheitsforscher von Trend Micro über einen Honeypot einen Anstieg in deren Aktivitäten fest. Die Fähigkeiten der Kits im Vergleich waren im Vergleich zu den letzten Angriffen aktualisiert worden. Dazu gehören erweiterte Scanner-Parameter und Ziele, die Ausführung von Dateien in Schleifen durch Fehlermeldungen, verbesserte Vermeidungstechniken für Scan-Aktivitäten und mehr Mining-Gewinn durch Ausschalten sowohl der Konkurrenz als auch der eigenen vorher genutzten Miner.

Die Forscher analysierten die Kits, deren Design auf Informationsdiebstahl in der Automotive- und Finanzbranche, den Start weiterer Angriffe auf bereits kompromittierten Systemen und den möglichen Verkauf der gestohlenen Informationen zugeschnitten sind. Der Vergleich mit den früheren Angriffen der Gruppe lässt die Forscher annehmen, dass Outlaw plant, in den USA und in Europa Unternehmen ins Visier zu nehmen, die ihre Systeme noch nicht upgedatet haben oder auch solche mit Internet-orientierten Systemen und schwacher bis keiner Überwachung des Verkehrs und der Aktivitäten. Neben alten Zielen sind sie auch auf neue Ziele aus, um ihre Updates in der Praxis zu testen. Die Experten gehen glauben, dass die Gruppe in den nächsten Monaten aktiver vorgehen wird.
Weiterlesen

DDoS-Angriffe und IoT Exploits: Momentum-Botnet mit neuer Aktivität

Originalartikel von Aliakbar Zahravi, Trend Micro

Die Sicherheitsforscher von Trend Micro stellten kürzlich eine erhöhte Malware-Aktivität auf Linux-Geräten fest. Die weitere Analyse von entnommenen Malware-Samples zeigte, dass die Aktionen im Zusammenhang mit einem Botnet namens Momentum standen. Die Forscher entdeckten neue Details zu den Tools und Techniken, die das Botnet derzeit für die Kompromittierung von Geräten und für Distributed Denial-of-Service (DDoS)-Angriffe nutzt.

Momentum zielt auf Linux-Plattformen mit unterschiedlichen CPU-Architekturen wie ARM, MIPS, Intel, Motorola 68020 und andere. Der Hauptzweck dieser Malware ist es, eine Hintertür zu öffnen und Befehle für verschiedene Arten von DoS-Angriffen anzunehmen. Die vom Momentum-Botnet verteilten Backdoors sind Mirai-, Kaiten- und Bashlite-Varianten. Darüber hinaus verbreitet sich Momentum auch durch das Ausnutzen mehrerer Schwachstellen in unterschiedlichen Routern und Webservices, um Shell-Skripts herunterzuladen und auf den anvisierten Geräten auszuführen. Die technischen Einzelheiten zur Vorgehensweise und Fähigkeiten von Momentum sowie deren Payloads liefert der Orginalbeitrag.
Weiterlesen

Denial-of-Service für Linux-Systeme

Originalartikel von William Gamazo Sanchez, Vulnerability Research

Die kürzlich entdeckte Sicherheitslücke in systemd bringt viele Linux-Distributionen in Gefahr. Die Lücke (CVE-2017-15908) im DNS-Auflöser kann einen DoS-Angriff auf verwundbare Systeme auslösen. Dafür sendet ein Angreifer eine DNS-Anfrage an einen von ihm kontrollierten DNS-Server. Dieser antwortet mit einer speziell aufgesetzten Anfrage und bewirkt damit, dass systemd in eine Endlosschleife gerät, die die CPU des Systems zu 100% beansprucht.

Es gibt mehrere Möglichkeiten, einen Nutzer dazu zu bringen, eine Anfrage an einen, von einem Bedrohungsakteur kontrollierten DNS-Server zu schicken. Am einfachsten ist es, das System des Nutzers eine Domäne besuchen zu lassen, die vom Angreifer kontrolliert wird. Das lässt sich über Malware oder Social Engineering bewerkstelligen. Weitere technische Einzelheiten liefert der Originalbeitrag.

Die effizienteste Gegenmaßnahme besteht im Patchen der Lücke in systemd. Trend Micro entdeckte den Fehler im Juli und verständigte die entsprechenden Hersteller über die Zero-Day Initiative (ZDI). Unabhängige Sicherheitsforscher fanden dieselbe Schwachstelle im Oktober dieses Jahres und berichteten darüber an Canonical. Es wurden auch Patches für verschiedene Linux-Distributionen wie Ubuntu Ende Oktober veröffentlicht. Zum Glück sind keine Angriffe auf diese Sicherheitslücke bekannt.

Umbreon Linux-Rootkit zielt auf x86- und ARM-Systeme

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Trend Micros Sicherheitsforscher erhielten kürzlich von einem Partner des Vertrauens Samples einer neuen Rootkit-Familie. Um dieser Gefahr entgegen zu wirken, liefert der Blog eine Analyse des Rootkits, und Trend Micro stellt auch die Samples der Industrie zur Verfügung.
Weiterlesen

Linux GHOST-Sicherheitslücke nicht gruselig

Originalartikel von Pawan Kinger, Director Deep Security Labs

Sicherheitsforscher von Qualys haben eine Schwachstelle in der GNU C-Bibliothek (auch als glibc bekannt) gefunden. Infolge dieser Lücke kann beliebiger Code auf Systemen mit verschiedenen Linux-Betriebssystemen ausgeführt werden. Die Schwachstelle (CVE-2015-0235) namens GHOST erweist sich bei näherer Analyse zwar als ernst, doch ist sie nicht so einfach zu missbrauchen, und bietet eine eingeschränkte Angriffsfläche.
Weiterlesen