SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

TrojanerDie Sicherheitsanalysten von Doctor Web haben einen neuen Linux-Trojaner entdeckt, der Mining-Malware für Kryptowährungen auf dem infizierten PC startet. Der Trojaner ist in Googles Programmiersprache GO geschrieben, was ihn so außergewöhnlich macht.

Der Trojaner Linux.Lady.1 ist in der Lage, externe IP-Adressen von infizierten Rechnern zu bestimmen, Rechner gezielt anzugreifen sowie Mining-Malware für Kryptowährungen herunterzuladen und zu starten. Linux.Lady.1 ist in Googles Programmiersprache Go geschrieben, was für einen Trojaner dieser Art eine Seltenheit darstellt und ihn schwieriger auffindbar macht. In seiner Architektur nutzt er vielfältige Bibliotheken, die auf GitHub verfügbar sind.

Linux Trojaner

Nach dem Start von Linux.Lady.1 übermittelt er die Versionsdaten des installierten Betriebssystems Linux, die Anzahl der Prozessoren und gestarteten Prozesse an den Remote-Server der Cyber-Kriminellen. Von diesem Server erhält der Trojaner eine Konfigurationsdatei, durch die eine Mining-Malware für Kryptowährungen installiert und gestartet wird. Auf diese Weise werden die geminten Gelder auf das Konto der Angreifer transferiert.

Linux Trojaner

Über spezielle Webseiten bestimmt Linux.Lady.1 eine externe IP-Adresse um andere Rechner gezielt anzugreifen. Der Trojaner versucht zunächst eine Verbindung zum Port herzustellen und greift dann auf den Redis (remote dictionary server) zu. Bei fehlerhafter Konfiguration durch den Systemadministrator - also wenn kein Passwort eingerichtet ist - gelingt dieser Versuch. Nach erfolgreicher Verbindung schreibt der Trojaner im cron eines Remote-Rechners ein Skript ein, welches von Dr.Web Antivirus als Linux.DownLoader.196 erkannt wird. Dieses Skript lädt dann Linux.Lady.1 herunter und installiert ihn auf dem infizierten Rechner. Anschließend fügt der Trojaner einen neuen Schlüssel zum Verbindungsaufbau via SSH in die Liste der autorisierten Schlüssel ein.
 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet