Linux-Backdoor entging seit Jahren einer Entdeckung durch Scanner
Eine jüngst entdeckte Malware, die Linux-Systeme befällt, zeigt ziemlich klar die Unzulänglichkeiten der vielgelobten Scanner-Technologien auf. Seit Jahren blieb der Schädling unentdeckt, obwohl klare Samples vorhanden waren.
Erst Ende März wurde man beim Netlab-Team des Security-Dienstleisters Qihoo 360 stutzig. Hier hatte ein Tracking-System für DDoS-Botnetze angeschlagen und den Sicherheitsforschern einen Hinweis auf verdächtigen Code geliefert. Bei der weitergehenden Analyse zeigte sich, dass die gleiche Malware bereits zweimal im Jahr 2018, einmal 2020 und auch noch in diesem Jahr an die VirusTotal-Plattform übermittelt worden war. Trotzdem schlug noch keiner der dort eingebundenen Scanner an, berichtet das US-Magazin ZDNet.
Das bedeutet letztlich zweierlei: Zum einen hat sich wohl noch kein Sicherheitsforscher persönlich mit der Malware, die nun auf den Namen RotaJakiro getauft wurde, auseinandergesetzt, obwohl die Samples über VirusTotal abrufbar waren. Weiterhin haben auch die automatischen Systeme, über die die meisten Erkennungs-Muster in den Virenscannern landen, bei ihrer Arbeit versagt.
Aktuell wurde bei den Analysen auch noch nicht viel mehr herausgefunden, als dass der Schädling Linux-Systeme verschiedener Art im Visier hat. Zu welchen konkreten Zwecken die Backdoor aber eingesetzt wird, ist derzeit noch unklar. Grundsätzlich sind aber Funktionen zur Ausleitung von Daten und ein Plugin-Management enthalten. Außerdem werden umfassende Informationen über das befallene System an die Betreiber geschickt.
RotaJakiro macht sein Verhalten außerdem davon abhängig, mit welchen Rechten aktuell User am System angemeldet sind. Im Normalfall beschränkt sich die Malware darauf, möglichst still zu beobachten und nicht durch übermäßige Aktivität aufzufallen. Wenn sich allerdings ein Administrator als root anmeldet, versucht die Malware sich einzuklinken und neue Konfigurations-Files zum Einsatz zu bringen.
Das bedeutet letztlich zweierlei: Zum einen hat sich wohl noch kein Sicherheitsforscher persönlich mit der Malware, die nun auf den Namen RotaJakiro getauft wurde, auseinandergesetzt, obwohl die Samples über VirusTotal abrufbar waren. Weiterhin haben auch die automatischen Systeme, über die die meisten Erkennungs-Muster in den Virenscannern landen, bei ihrer Arbeit versagt.
Geschickte Tarnung
Laut den Netlab-Forschern ändert die Backdoor regelmäßig die Verschlüsselungs-Technologie, mit der sie ihren Code tarnt. Mal kommt eine ZLIB-Kompression zum Einsatz, mal AES oder XOR. Das hilft letztlich, unter dem Radar zu bleiben. Darüber hinaus verschleiert RotaJakiro auch die Kommunikation mit der Kommando-Infrastruktur recht geschickt.Aktuell wurde bei den Analysen auch noch nicht viel mehr herausgefunden, als dass der Schädling Linux-Systeme verschiedener Art im Visier hat. Zu welchen konkreten Zwecken die Backdoor aber eingesetzt wird, ist derzeit noch unklar. Grundsätzlich sind aber Funktionen zur Ausleitung von Daten und ein Plugin-Management enthalten. Außerdem werden umfassende Informationen über das befallene System an die Betreiber geschickt.
RotaJakiro macht sein Verhalten außerdem davon abhängig, mit welchen Rechten aktuell User am System angemeldet sind. Im Normalfall beschränkt sich die Malware darauf, möglichst still zu beobachten und nicht durch übermäßige Aktivität aufzufallen. Wenn sich allerdings ein Administrator als root anmeldet, versucht die Malware sich einzuklinken und neue Konfigurations-Files zum Einsatz zu bringen.
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen