Anzeige

Anzeige

VERANSTALTUNGEN

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

ACMP Competence Days München
10.04.19 - 10.04.19
In Jochen Schweizer Arena GmbH, Taufkirchen bei München

Mendix World
16.04.19 - 17.04.19
In Rotterdam Ahoy Conference Centre

Anzeige

Anzeige

Botnet

Im August dieses Jahres hat sich ein neues Botnetz auf den Weg gemacht und attackiert schlecht gesicherte SSH-Server. SophosLabs hat sich das unter dem Namen Chalubo oder auch ChaCha-Lua-bot aktive Schadprogramm näher angeschaut und herausgefunden, dass es die riesige Anzahl globaler Linux-Server angeht, die SSH (Secure Shell) für Remote-Administration nutzen.

Dazu gehört heutzutage auch die ständig wachsende Anzahl an IoT-Geräten. Chalubo scannt dazu im großen Stil IP-Adressen und sucht nach Geräten, die SSH auf Port 22 verwenden. Die gefundenen „Opfer“ werden dann per Brute Force angegangen, indem Standard- oder schwache Passwörter durchprobiert werden. Das ultimative Ziel der Hacker ist es dabei, Malware auf die Geräte herunterzuladen und auszuführen. Dadurch können zu einem beliebigen Zeitpunkt DDoS-Attacken (Distributed Denial of Service) per DNS, UDP oder SYN Flood gestartet werden.

Im folgenden Beispiel, das die SophosLabs analysiert haben, war das Angriffsziel eine einzelne chinesische IP-Adresse. Grundsätzlich ist jedoch jedes Netzwerk anfällig für diese Art der Attacke.

„Allerdings weisen viele Designelemente der Malware darauf hin, dass vor allem IoT-Geräte im Chalubo-Fokus stehen“, so Michael Veit, IT Security Experte bei Sophos. „Interessant ist außerdem, dass die Schadsoftware einige Code-Elemente aus der Mirai-Malware-Familie enthält, die 2016 mehr als eine halbe Million IoT-Geräte kompromittiert hatte.“

Bei der Untersuchung des Command and Control Servers des Angreifers stellten die SophosLabs außerdem fest, dass noch eine zweite Malware namens Linux/DDoS-BD (Linux/BillGates) eingesetzt wird, die mit dem chinesischen Elknot-Botnetz aus dem Jahr 2014 in Verbindung gebracht wird. Wenn allerdings tatsächlich eine größer angelegte Aktion vorbereitet werden sollte, ist es sehr wahrscheinlich, dass Chalubo SSH im Hauptfokus hat. Es wird häufig als sichere Möglichkeit angesehen, nahezu alles zu nutzen, das auf Linux basiert.

„Allerdings ist SSH bei weitem nicht so gut gesichert wie es sein sollte“, so Michael Veit. „Damit ist das Netzwerkprotokoll im besten Fall ein einladendes Ziel für Hacker und im schlechtesten ein Haftbarkeitsthema, da SSH nicht nur für Shell-Logins, sondern auch für Proxy Tunnelling und Datentransfer genutzt werden kann.“

Wie kann Linux/Chalubo-A entdeckt werden? Eine Möglichkeit ist es, nach ausgehendem C&C-Traffic auf Port 8852 zu suchen, auch wenn dieser Weg nicht immer genutzt wird. Es ist zudem empfehlenswert, Logs auf fehlgeschlagene Login-Versuche zu prüfen oder darauf zu achten, ob Server plötzlich eine ungewöhnlich hohe Bandbreite benötigen. Der bessere Weg ist aber die Vorbeugung, indem Admins SSH sicher einsetzen. Wie bei allen Brute-Force-Attacken kann sich auch Chalubo erst dann so richtig austoben, wenn Standard- oder schwache Passwörter genutzt werden.

Michael Veit rät zu folgendem Vorgehen: „Erster Schritt zur Brute-Force-Abwehr sollte ein starkes Passwort sein. Noch besser ist es allerdings, keine Passwörter zu verwenden und stattdessen auf eine SSH-Schlüsselauthentifizierung zu setzen. Hierbei haben Anwender den weiteren großen Vorteil, dass diese Art der Sicherung auch für verschiedene Server genutzt werden kann.“

www.sophos.de
 

GRID LIST
Mann und Schatten von Hammer

Operation ShadowHammer bedroht eine Millionen Nutzer weltweit

Kaspersky Lab hat eine neue APT-Kampagne (Advanced Persistent Threat) entdeckt: Bei der…
Stop Hacker

Firmen müssen Hackerabwehr neu denken

Tagtäglich sind Unternehmen das Ziel von Cyberattacken. Per Schadsoftware und über…
Bank

IT-Security: Sichere Kommunikation mit der Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt…
Trojaner

Trojaner Emotet gefährlicher denn je

Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im…
Tb W190 H80 Crop Int 435a88a9a5029a89779cc54837f4d636

Neue Adware-Kampagne: 150 Millionen Nutzer von ‚SimBad‘ betroffen

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben…
Schwachstelle

Microsoft-Office-Schwachstelle ist Einfallstor für Cyber-Angriffe

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung…