Erste Linux-Malware mit Anti-Sandbox-Funktionen entdeckt

SicherheitVirus

Experten fürchten, dass sie verwendet werden könnte, um ähnlich umfangreiche Botnetze aufzubauen wie Mirai und dass darüber dann auch vergleichbare DDoS-Attacken durchgeführt werden könnten.

Experten von Palo Alto Networks haben ihren Angaben zufolge erstmals eine Linux-Malware, die enteckt, die virtuelle Maschinen erkennen und löschen kann, um sich so gegen Sandboxes mit Analysewerkzeugen zu wehren. Um keine Spuren zu hinterlassen, löscht sich die “Amnesia” gennante Malware zudem selbst.

Malware (Bild: Shutterstock.com/Maksim Kabakou)

Solche Methoden um virtuelle Maschinen zu umgehen seien bislang nur von Schadsoftware für Windows und Android bekannt gewesen. Ähnlich wie diese versuche Amnesia zu ermitteln, ob sie auf VirtualBox, VMware oder QEMU in einer virtuellen Maschine läuft. Ist das dr Fall, löscht sie alle Dateien im Dateisystem eines virtalisierten Linux, also nicht nur Sandboxen zum Aufspüren von Malware, sondern unter Umständen auch QUEMU-basierte Linux-Server in VPS- oder Public-Cloud-Umgebungen.

Amnesia ist Palo Alto Networks zufolge eine Variante der Linux-Malware Tsunami, mit der sich die gleichnamigen IoT-Botnets aufbauen lassen. Die neue Malware suche nach anfälligen Systemen, um sie durch Remotecodeausführung zu übernehmen. Wie bei “Tsunami” könne ein dadurch errichtetes Botnet für Denial-of-Service-Angriffe genutzt werden. Palo Alto hält ähnlich umfassend angelegte DDoS-Attacken wie durch die Mirai-Botnets für möglich.

Ausgewähltes Whitepaper

Anbieter von IoT-Plattformen im Vergleich

Die Frage nach der passenden IoT-Plattform ist angesichts der Vielzahl der Anbieter nur schwer zu beantworten. Der jetzt von Forrester Research vorgelegte Bericht "The Forrester Wave™ zu IoT-Softwareplattformen" hilft, sich einen Überblick über die aktuelle Marktlage zu verschaffen und den richtigen Ansatz auszuwählen.

Entdeckt wurde Amnesia auf digitalen Videorekordern. Dort wurde die Malware offenbar über eine Sicherheitslücke, die seit einem Jahr bekannt ist aber bislang offenbar noch nicht behoben ist. Den Sicherheitsforscher zufolge, weisen rund 227.000 Geräte des Hersteller TVT Digital diese Schwachstelle auf. Sie wurden aber unter mehreren Markennamen weltweit von über 70 Anbietern verkauft. Damit ist Amnesia auch ein weiterer Beleg für die Anfälligkeit von vernetzten Geräten im Internet der Dinge (Internet of Things, IoT), bei denen es sich nicht um herkömmliche IT-Systeme handelt, und die unzureichenden Gegenmaßnahmen der mit dieser Materie nicht vertrauten Gerätehersteller.

[mit Material von Bernd Kling, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen