Gitpaste-12 Wurm mit 12 Angriffsmodulen gegen Linux

10. Januar, 2021
Gitpaste-12 Wurm mit 12 Angriffsmodulen gegen Linux

den Forschern ist der Gitpaste Wurm mit 12 verschiedenen Angriffsmodulen ausgestattet. Wer genau damit angegriffen werden soll, ist jedoch noch nicht bekannt – die Forscher haben aber eine Vermutung.

Juniper Threat Labs entdeckte am 15. Oktober dieses Jahres den Gitpaste Wurm, der Github und Pastebin Code enthält. Besonders auffällig ist, dass der Wurm mit Tools ausgestattet ist, die auf 12 unterschiedlichen Wegen angreifen können. Daher die Namensgebung: Gitpaste-12.

Der Gitpaste-12 Wurm kurz vorgestellt

Der Wurm wird über einen erfolgreichen Angriff in ein Netzwerk eingeschleust. Einmal im Netzwerk, kann der Gitpaste-Wurm sein Repertoire von derzeit 12 Angriffsmodulen einsetzen. Laut den Forschern gibt es Hinweise darauf, dass die Urheber noch weitere Angriffsmodule testen. Der Wurm versucht dann, bekannte Exploits auszunutzen, um die Netzwerke zu kompromittieren. Er kann auch Brute-Force Angriffe ausführen, um Passwörter zu stehlen.

Forscher konnten beobachten, wie der Wurm sofort mit der Arbeit beginnt. Zuerst lädt das Haupt-Shell-Skript andere Komponenten von Gitpaste-12 herunter und führt sie aus. Dann lädt es einen Cron-Job herunter und richtet ihn ein. Im Minutenabstand lädt dieser Skripte von Pastebin herunter und führt sie aus. Die Forscher bei Juniper Thread Labs vermuten, dass dies eines der Mechanismen ist, über den Updates für die Cron-Jobs an das Botnet übermittelt werden können. Von GitHub lädt der Wurm zusätzlichen Code herunter und führt ihn ebenfalls aus.

Im nächsten Schritt richtet sich der Wurm in der Netzwerkumgebung ein. Das System wird die Möglichkeit genommen, sich gegen unbefugtes Eindringen zu wehren. Alle Firewall-Regeln, Selinux, Apparmor und auch gängiger Angriffsschutz- und Überwachungssoftware werden außer Gefecht gesetzt. Laut den Forschern konnten Code-Kommandos entdeckt werden, die der Deaktivierung von Cloud-Sicherheitsdiensten dienen. Das deutet darauf hin, dass die Hacker beabsichtigt, die von Alibaba Cloud und Tencent bereitgestellte Public-Cloud-Computing-Infrastruktur anzugreifen.

Das kann der Gitpaste-12 Wurm

Unter den 12 Angriffsmodulen ist eine, die Miner für die Kryptowährung Monero auszuführen kann. Dann wird die Rechenleistung eines kompromittierten Systems zum Schürfen missbraucht.

Was dem Wurm hilft, unterm Radar zu bleiben bei seinen Aktivitäten, ist library hide.co. Diese verhindert auch, dass Administratoren Informationen über laufende Prozesse sammeln können. Dazu fängt das Modul „readdir“-Systemaufrufe ab und überspringt Verzeichnisse für Prozesse wie tcpdump, sudo, openssl usw. in „/proc“.

Der Gitpaste-12-Wurm enthält auch ein Skript, das Angriffe auf andere Rechner startet, um sich zu replizieren und zu verbreiten. Dazu wählt es einen zufälligen /8-CIDR für den Angriff und probiert alle Adressen innerhalb dieses Bereichs durch.

Ziel des Gitpaste-12 Wurms ist wohl ein großes Botnet zu bauen. Das Botnet kann anschließend auch selbst als Wurm arbeiten. Dann werden kompromittierte Rechner dazu genutzt, um Skripte gegen andere anfällige Geräte im selben oder in verbundenen Netzwerken zu starten. So wird die Malware repliziert und verbreitet.

Die Gitpaste-12 Malware ist mit recht vielen verschiedenen Angriffsmöglichkeiten ausgestattet. Laut den Forschern ist das ein Hinweis darauf, dass der Wurm wahrscheinlich nur die erste Phase in einem mehrstufigen Angriff ist.

Ein Teil der Angriffsmodule entschärft

Die Pastebin-URL und das GitHub-Repository, die im ersten Schritt für die Bereitstellung von Anweisungen für die Malware verwendet werden, wurden beide abgeschaltet. Die Forscher hatten ihre Funde entsprechend gemeldet. Damit müsste die Verbreitung des Botnets vorerst aufzuhalten sein. Gleichzeitig wies Juniper Threat Labs aber darauf hin, dass Gitpaste-12 höchstwahrscheinlich weiterentwickelt wird. Das Risiko ist durchaus gegeben, dass der Wurm wieder auftauchen könnte.

Es gibt Möglichkeiten, sich vor Gitpaste-12 Angriffen zu schützen. Am besten ist das möglich, indem man dem Wurm den Hauptverbreitungsweg abschneidet. Das lässt sich ganz einfach mit Sicherheitspatches bewerkstelligen. Diese, so die Forscher, würden alle bekannten Schwachstellen schließen, die der Wurm ausnutzt. Weiter hieß es, die Kunden von Juniper Connected Security, die die SRX IDP und Juniper ATP Cloud verwenden, seien vor Gitpaste-12 geschützt.

Ein weiterer Tipp der Forscher war, Standardpasswörtern für IoT-Geräte zu vermeiden. Bessere Passwörter tragen stark gegen die Wirkung von Brute-Force-Angriffen bei.

Würmer zuletzt auf dem Vormarsch

Würmer sind üble Hacker-Werkzeuge. Bei einem Angriff im letzten Jahr wurde ein wurmfähiger Exploit eingesetzt. Er nutzte eine Schwachstelle im Exim Mail Transport Agent (MTA) aus. Damit erhielt er die Remote-Befehlsausführung auf den Linux-Systemen der Opfer. Aktuell zeigen Untersuchungen, dass mehr als 3,5 Millionen Server durch diese Angriffe gefährdet sind.

Auch 2020 sind mehrere neue Würmer aufgetaucht. Einer davon ist der Golang-Wurm. Er zielt auf die Installation von Kryptominern ab. Aber neuerdings kann er auch Angriffe auf Windows-Server ausführen. Zudem ist er erweitert worden um ein ganzes Arsenal von neuen Exploits.

Im August dieses Jahres wurde ein Kryptomining-Wurm von der Hackergruppe TeamTNT entdeckt. Er verbreitete sich über die Amazon Web Services (AWS)-Cloud und sammelte fleißig Anmeldedaten. Damit meldet sich der Wurm dann an und setzt das XMRig-Mining-Tool ein, um die Kryptowährung Monero zu schürfen.

Juniper Threat Labs schloss ihren Bericht ab mit:

„Es ist nie gut, Malware zu haben, aber Würmer sind ganz besonders lästig. Ihre Fähigkeit, sich automatisiert zu verbreiten, kann dazu führen, dass sie sich seitlich innerhalb einer Organisation ausbreiten. Es ist auch möglich, dass sie andere Netzwerke über das Internet infizieren. Letztendlich gibt das einem Unternehmen einen schlechten Ruf.“

Artikel von blogs.juniper.net, 05.11.2020: Gitpaste-12: a new worming botnet with reverse shell capability spreading via GitHub and Pastebin

Artikel von zdnet.com, 09.11.2020: This new malware wants to add your Linux servers and IoT devices to its botnet

Artikel von threatpost.com, 06.11.2020: Gitpaste-12 Worm Targets Linux Servers, IoT Devices

 

Beitragsbild: Public Domain, Creative Commons CC0, James Wainscoat auf unsplash.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen