NoaBot: Stark verbesserte Mirai-Variante frisst sich durch Linux-Geräte
In den letzten Monaten hat sich eine höchst ungewöhnliche Malware durch zahlreiche Linux-basierte Systeme auf der ganzen Welt gearbeitet. Der Schädling basiert auf dem altbekannten Mirai und wurde in entscheidenden Punkten verbessert.
Die Sicherheitsteams des CDN-Betreibers Akamai haben jetzt eine neue Variante auf der Basis des Mirai-Codes entdeckt. Diese hat erneut ein großes Botnetz aufgezogen, das als NoaBot bezeichnet wird. Die fragliche Malware ist den Angaben zufolge mindestens seit einem Jahr aktiv. Statt aber eine Infrastruktur für DDoS-Angriffe zu bilden, werden die übernommenen Systeme jetzt für das Kryptomining missbraucht.
Akamai hat NoaBot in den letzten Monaten in einem Honeypot überwacht, der echte Linux-Geräte imitiert, um verschiedene Angriffe zu verfolgen, die in der freien Wildbahn kursieren. Bisher gingen dabei Angriffe von 849 verschiedenen IP-Adressen aus, von denen fast alle wahrscheinlich ein bereits infiziertes Gerät hosten.
"Oberflächlich betrachtet ist NoaBot keine sehr ausgeklügelte Kampagne - es ist 'nur' eine Mirai-Variante und ein XMRig-Kryptominer, und die gibt es heutzutage wie Sand am Meer", erklärte Stiv Kupchik, Senior Security Researcher bei Akamai. "Die der Malware hinzugefügten Verschleierungen und die Ergänzungen des ursprünglichen Quellcodes zeichnen jedoch ein ganz anderes Bild von den Fähigkeiten der Bedrohungsakteure."
NoaBot verwendet eine neuartige Technik, um eine Verfolgbarkeit der Wertetransfers des Kryptominers zu verhindern. Anstatt die Konfigurationseinstellungen über eine Befehlszeile zu übermitteln, speichert das Botnet die Einstellungen in verschlüsselter oder verschleierter Form und entschlüsselt sie erst unter passenden Voraussetzungen wieder. In Verbindung mit einigen anderen fortschrittlichen Tarn-Mechanismen verbirgt sich die ganze Malware-Kampagne so ziemlich gut.
Siehe auch:
Alter Bekannter in neuem Kleid
Mirai wurde erstmals im Jahr 2016 bekannt. Die Malware übernahm damals zahlreiche Server, Router, Überwachungskameras und auch digitale Videorekorder, die allesamt mit Linux arbeiteten. Damals wurden all diese Systeme in ein großes Botnetz eingegliedert und anschließend für damals rekordverdächtige DDoS-Angriffe benutzt.Die Sicherheitsteams des CDN-Betreibers Akamai haben jetzt eine neue Variante auf der Basis des Mirai-Codes entdeckt. Diese hat erneut ein großes Botnetz aufgezogen, das als NoaBot bezeichnet wird. Die fragliche Malware ist den Angaben zufolge mindestens seit einem Jahr aktiv. Statt aber eine Infrastruktur für DDoS-Angriffe zu bilden, werden die übernommenen Systeme jetzt für das Kryptomining missbraucht.
Akamai hat NoaBot in den letzten Monaten in einem Honeypot überwacht, der echte Linux-Geräte imitiert, um verschiedene Angriffe zu verfolgen, die in der freien Wildbahn kursieren. Bisher gingen dabei Angriffe von 849 verschiedenen IP-Adressen aus, von denen fast alle wahrscheinlich ein bereits infiziertes Gerät hosten.
Gut getarnt
Dies zeigt letztlich, dass die Betreiber der Infrastruktur selbst wenig Energie in den Ausbau ihrer Installationsbasis investieren müssen. Sie vertrauen schlichtweg darauf, dass die sich selbst replizierende Malware auch allein immer noch genug angreifbare Ziele ausfindig machen kann."Oberflächlich betrachtet ist NoaBot keine sehr ausgeklügelte Kampagne - es ist 'nur' eine Mirai-Variante und ein XMRig-Kryptominer, und die gibt es heutzutage wie Sand am Meer", erklärte Stiv Kupchik, Senior Security Researcher bei Akamai. "Die der Malware hinzugefügten Verschleierungen und die Ergänzungen des ursprünglichen Quellcodes zeichnen jedoch ein ganz anderes Bild von den Fähigkeiten der Bedrohungsakteure."
NoaBot verwendet eine neuartige Technik, um eine Verfolgbarkeit der Wertetransfers des Kryptominers zu verhindern. Anstatt die Konfigurationseinstellungen über eine Befehlszeile zu übermitteln, speichert das Botnet die Einstellungen in verschlüsselter oder verschleierter Form und entschlüsselt sie erst unter passenden Voraussetzungen wieder. In Verbindung mit einigen anderen fortschrittlichen Tarn-Mechanismen verbirgt sich die ganze Malware-Kampagne so ziemlich gut.
Zusammenfassung
- Neue Malware auf Linux-Systemen basiert auf Mirai
- Erstmals 2016 aufgetreten, für DDoS-Angriffe genutzt
- Akamai entdeckt Botnetz NoaBot, seit einem Jahr aktiv
- NoaBot für Kryptomining statt DDoS-Angriffe eingesetzt
- Honeypot von Akamai registriert Angriffe von 849 IPs
- Malware repliziert sich selbst, findet angreifbare Ziele
- NoaBot tarnt Kryptominer-Transfers, erschwert Verfolgung
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen