DE|EN

Goldgräber-Stimmung durch SambaCry

Das Sicherheitsteam der Firma Kaspersky entdecken einen Trojaner, der die vor Kurzem entdeckte Samba-Lücke für seine SambaCry-Attacken nutzt und die geenterte Hardware zur Erzeugung von Kryptogeld nutzt.

Linux-Experte, SambaCry-Attacke

Auf einem eigens dafür bereitgestellten Honeypot konnte Ende May ein Angriff beobachtet werden, der diese Sicherheitsanfälligkeit des Samba-Servers (CVE-2017-7494) ausnutzte. Somit wird die SambaCry-Lücke (auch als EternalRed benannt) genutzt, um Schadcode , ein „cryptocurrency mining utility“, auf verwundbare Linux-Server auszuführen und verdeckt die Kryptowährung BitMonero (XMR) zu schürfen.

Zuerst versucht der Angreifer über die SambaCry/EternalRed-Lücke auf dem schadhaften Server eine Datei mit acht zufälligen Zeichen zu schreiben. Bei Erfolg wird im Anschluss diese Datei auch gleich wieder gelöscht. Somit weiß der Angreifer um die Anfälligkeit des Systems. Erst jetzt beginnt der Angreifer den Schadcode mit Root-Privilegien auf den Server zu schreiben. Allerdings muss er den Pfad der eben erstellten Datei erraten, indem mit Hilfe von BruteForce verschiedene Pfade ausprobiert werden.

Ist die Datei wieder gefunden, dann kann der Schadcode innerhalb des Samba-Server-Prozesses unter Verwendung der SambaCry-Schwachstelle geladen und ausgeführt werden. Dann wird die Datei gleich wieder gelöscht. Ab diesem Zeitpunkt läuft der Trojaner nur noch im Arbeitsspeicher des Servers.

Zwei Dateien wurden hochgeladen und ausgeführt:
INAebsGB.so (349d84b3b176bbc9834230351ef3bc2a - Backdoor.Linux.Agent.an)
und
cblRWuoCc.so (2009af3fed2a4704c224694dfc4b31dc – Trojan-Downloader.Linux.EternalMiner.a).

INAebsGB.so

Diese Datei speichert die einfachste Reverse-Shell. Es verbindet sich mit dem bestimmten Port der IP-Adresse, die von seinem Besitzer angegeben wird, und gibt ihm Fernzugriff auf die Shell (/ bin / sh). Infolgedessen haben die Angreifer die Fähigkeit, fern irgendwelche Shell-Befehle auszuführen. Sie können buchstäblich alles tun, was sie wollen, vom Herunterladen und Ausführen von Programmen aus dem Internet, um alle Daten aus dem Computer des Opfers zu löschen.

cblRWuoCc.so

Die Hauptfunktionalität dieser Datei ist das Herunterladen und Ausführen eines der beliebtesten Open-Source-Cryptocurrency Mining Utilities - cpuminer (miderd).

Cpuminer wird dazu verwendet, um nach der Kryptowährung XMR zu schürfen und diese zu vermehren.Immerhin konnte nachgewiesen werden, das der Angreifer bislang 98 XMR (ca. 46 EUR/1 XMR am 13.06.2017) oder 4.498,00 EUR abgreifen konnte.

Schlussfolgerung

Somit wird ein betroffener Server regelrecht zu einer Melkkuh für die Hacker. Zusätzlich können die Hacker durch den Shell-Zugriff, der bestehen bleibt, den Server mit anderen Arten von Malware infizieren und ausnutzen.