Shishiga-Malware zielt mit BitTorrent auf Linux-Systeme
BitTorrent ist eine bisher wenig gebräuchliches Protokoll für Linux-Schädlinge. Auch die Programmiersprache Lua kommt in diesem Zusammenhang bislang selten vor.
Der neue Schädling Shishiga zielt auf GNU/Linux-Systeme ab. Wie der Sicherheitsanbieter ESET in einer detaillierten Analyse festhält verbreitet sich der Schädling wie viele andere auch über schwach gesicherte Telnet- und SSH-Anmeldeinformationen. Was an dieser neuen Schädlingsfamilie allerdings neu ist, sei die Verwendung des BitTorrent-Protokolls und der Skriptsprache Lua.
Lua eigne sich vor allem aufgrund der hohen Flexibilität und Modularität für die Autoren der Malware, die offenbar den Schädling derzeit ständig weiterentwickeln. Dabei setzen die Autoren auch auf die Protokolle: SSH, Telnet, HTTP und BitTorrent. BitTorrent wurde auch für den IoT-Wurm Hajime genutzt, der von dem Mirai-Botnet inspiriert ist.
Für die ESET-Experten scheint es sehr wahrscheinlich, dass künftig noch weitere Malware auf Basis von BitTorrent zu erwarten ist. Shishiga knackt über Bruteforcing schwache Login-Daten mit Hilfe einer Passwortliste. Aber auch SSH-Anmeldeinformationen werden wenig elegant über Bruteforcing angegriffen.
Über die Skripsprache Lua wird dann ein BitTorrent-Wrapper aufgerufen, der dann sozusagen die Konfiguration und auch die Updates des Schädlings übernimmt. Der Angreifer kann dann über einen HTTP-Server über den Port 8888 auf das betroffene System zugreifen.
Von ESET heißt es zu dem Schädling: “Die Malware scheint sich noch in der Entwicklung zu befinden. Darauf lässt das konstante Hinzufügen, Entfernen und Ändern von Komponenten, Code-Kommentaren und Debug-Informationen schließen.” Das Unternehmen warnt Anwender davor, default- und Standard-Passwörter für Telnet und SSH zu verwenden.
Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Ein weiteres interessantes Detail ist ein kyrillischer Text in der Readme-Datei. Dabei handelt es sich offenbar um einen Liedtext des 2008 verstorbenen russischen Sängers und Dichters Jegor Letow mit dem Titel “Alles läuft nach Plan”.
Für welche Zwecke die Malware derzeit eingsetzt wird, teilt der Sicherheitsanbieter nicht mit. Auch mit Details über die aktuelle Verbreitung des Schädlings hält sich ESET derzeit noch zurück. Eine detaillierte technische Analyse des Schädlings hat der Sicherheitsanbieter hier veröffentlicht.
