07. Apr. 2017

Linux-Malware mit Sandbox-Evasion attackiert IoT

Palo Alto Networks entdeckt Malware, die digitale Videorecorder attackiert und ein IoT-Botnet bildet – lt. Analysten erste Linux-Schadsoftware mit Sandbox-Evasion


Die Anti-Malware-Abteilung von Palo Alto Networks "Unit 42" hat mit "Amnesia" eine neue Variante des IoT/Linux Botnets "Tsunami" entdeckt. Dieses neue Botnet attackiert dem Anbieter zufolge eine Schwachstelle digitaler Videorecorder (DVRs) des Anbieters TVT Digital in über 70 Ländern. Damit geraten knapp 230.000 Endgeräte ins Visier.

Man gehe überdies davon aus, das Amnesia die erste Linux-Malware ist, die ein Verfahren verwendet, mit dem sie virtuelle Maschinen täuschen kann, um Analysewerkzeuge von Sandboxes zu umgehen. Bisher sei so etwas nur bei Malware aufgefallen, die Microsoft Windows und Google Android angegriffen hat. 

Amnesia versucht demnach herauszufinden, ob sie in einer virtuellen Maschine wie VirtualBox, VMware oder QEMU befindet. Falls sie das feststellt, löscht sie das virtualisierte Linux-System (alle Dateien im Filesystem). Diese Vorgehen sehen die Anti-Malware-Forscher nicht nur in Linux Malware-Analyse-Sandboxes, sondern auch auf einigenQEMU-basierten Linux-Servern in einer VPS-oder Public-Cloud-Umgebung.

Die neuartige Malware nutze zudem eine Schwachstelle zur Remote-Ausführung von Code, indem sie aktiv nach angreifbaren System sucht, diese lokalisiert und infiziert. Obwohl die Schwachstelle in den digitalen Videorecordern (DVRs) seit über einem Jahr bekannt sei, wurde sie noch nicht beseitigt und stellt nun ein Einfallstor für Angriffe dar. Nach einer erfolgreichen Attacke übernimmt die Malware das infizierte Endgerät komplett. Die Angreifer könnten so das entstehende Amnesia-Botnet nutzen, um große DDoS-Attacken zu starten, die den Mirai-Botnet-Angriffen aus dem vergangenen Herbst ähnlich seien.

Weitere Informationen in englischer Sprache liefert ein Blog-Eintrag der "Unit 42".