Shishiga-Malware zielt mit BitTorrent auf Linux-Systeme

SicherheitVirus

BitTorrent ist eine bisher wenig gebräuchliches Protokoll für Linux-Schädlinge. Auch die Programmiersprache Lua kommt in diesem Zusammenhang bislang selten vor.

Der neue Schädling Shishiga zielt auf GNU/Linux-Systeme ab. Wie der Sicherheitsanbieter ESET in einer detaillierten Analyse festhält verbreitet sich der Schädling wie viele andere auch über schwach gesicherte Telnet- und SSH-Anmeldeinformationen. Was an dieser neuen Schädlingsfamilie allerdings neu ist, sei die Verwendung des BitTorrent-Protokolls und der Skriptsprache Lua.

Lua eigne sich vor allem aufgrund der hohen Flexibilität und Modularität für die Autoren der Malware, die offenbar den Schädling derzeit ständig weiterentwickeln. Dabei setzen die Autoren auch auf die Protokolle: SSH, Telnet, HTTP und BitTorrent. BitTorrent wurde auch für den IoT-Wurm Hajime genutzt, der von dem Mirai-Botnet inspiriert ist.

Bug_Linux_shutterstock

Für die ESET-Experten scheint es sehr wahrscheinlich, dass künftig noch weitere Malware auf Basis von BitTorrent zu erwarten ist. Shishiga knackt über Bruteforcing schwache Login-Daten mit Hilfe einer Passwortliste. Aber auch SSH-Anmeldeinformationen werden wenig elegant über Bruteforcing angegriffen.

Über die Skripsprache Lua wird dann ein BitTorrent-Wrapper aufgerufen, der dann sozusagen die Konfiguration und auch die Updates des Schädlings übernimmt. Der Angreifer kann dann über einen HTTP-Server über den Port 8888 auf das betroffene System zugreifen.

Von ESET heißt es zu dem Schädling: “Die Malware scheint sich noch in der Entwicklung zu befinden. Darauf lässt das konstante Hinzufügen, Entfernen und Ändern von Komponenten, Code-Kommentaren und Debug-Informationen schließen.” Das Unternehmen warnt Anwender davor, default- und Standard-Passwörter für Telnet und SSH zu verwenden.

Ausgewähltes Whitepaper

Digitalisierung des Vertragsmanagements

Verträge und vor allem Vertragsinhalte sind wesentliche Faktoren für den Erfolg oder Misserfolg eines Unternehmens. Dieses Whitepaper behandelt die Aspekte, die für eine Digitalisierung der Vertragsverwaltung sowie damit verbundener Prozesse sprechen und erläutert die Vorteile.

Ein weiteres interessantes Detail ist ein kyrillischer Text in der Readme-Datei. Dabei handelt es sich offenbar um einen Liedtext des 2008 verstorbenen russischen Sängers und Dichters Jegor Letow mit dem Titel “Alles läuft nach Plan”.

Für welche Zwecke die Malware derzeit eingsetzt wird, teilt der Sicherheitsanbieter nicht mit. Auch mit Details über die aktuelle Verbreitung des Schädlings hält sich ESET derzeit noch zurück. Eine detaillierte technische Analyse des Schädlings hat der Sicherheitsanbieter hier veröffentlicht.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen