Emotet: Trickbot nimmt Linux-Systeme ins Visier

Schlechte Nachrichten: Forscher entdecken Linux-Versionen einer Schadsoftware der Trickbot-Gang.

In Pocket speichern vorlesen Druckansicht 221 Kommentare lesen
Emotet: Trickbot nimmt Linux-Systeme ins Visier

(Bild: deepadesigns/Shutterstock.com)

Lesezeit: 2 Min.

Einen beträchtlichen Teil des Schadens typischer Emotet-Vorfälle richtet die Trickbot-Band an. Deren Schadsoftware lädt Emotet nämlich auf die infizierten Systeme, sodass deren Herrn und Meister schlussendlich wichtige Daten verschlüsseln und dafür Lösegeld fordern können (siehe Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail). Jetzt hat ein Sicherheitsforscher eine Linux-Portierung des Trickbot-Tools Anchor_DNS entdeckt – und das bedeutet Ärger.

Die Trickbot-Gang ist bekannt für ihre raffinierten Angriffsmethoden. Anchor_DNS etwa ist ein Tool, das das Domain Name System (DNS) für die Kommunikation mit dem Kontrollserver missbraucht. Das hat zwei Vorteile: Erstens sehen die Verteidiger und deren Tools keine Zugriffe auf verdächtige IP-Adressen mehr. Und zweitens funktioniert das auch, wenn der infizierte Rechner selbst gar keine Verbindung zum Internet hat – also etwa auf einem internen Server. Das System muss dazu lediglich DNS-Namen auflösen können.

Dieses Trickbot-Tool hat Waylon Grange jetzt in einer Linux-Version entdeckt und analysiert. Anchor_linux verankert sich selbst als Cron-Job im System. Wie es dorthin gelangt ist nicht klar, aber Trickbot sammelt unter anderem auf infizierten Systemen SSH-Schlüssel ein. Die Infektion des Linux-Servers könnte also etwa über den SSH-Zugang eines Admins erfolgen, dessen Arbeitsplatzrechner zuvor kompromittiert wurde. Auch IoT-Gerätschaften mit bekannten Hintertür-Zugängen sind natürlich potenzielle Opfer.

Der Linux-Trojaner übermittelt Daten via DNS an seinen Kontrollserver und empfängt von diesem Befehle und Dateien. Es arbeitet dabei ähnlich wie die bereits bekannten Windows-Versionen. Darüber hinaus hat er auch Funktionen um Windows-Systeme zu infizieren. Dazu kopiert er einen Windows-Trojaner auf eine Dateifreigabe und konfiguriert diesen anschließend via IPC als Dienst, der automatisch zu starten ist.

Das Ausweiten der Aktivitäten auf Linux-Systeme ist aus Sicht der Trickbot-Bande sicher ein naheliegender Schritt. Für Incident-Response-Teams, die Trickbot- beziehungsweise Emotet-Vorfälle analysieren müssen, sind das jedoch denkbar schlechte Nachrichten. Müssen sie doch im Rahmen ihrer Aktivitäten zukünftig auch alle Systeme genau untersuchen, die unter Linux laufen und möglicherweise infiziert sein könnten. Das heißt nicht nur Server, sondern auch Drucker, Router, und so weiter und so fort. Denn ein einziger, übersehener Anchor_linux bedeutet, dass die Kriminellen nach der Reinigung sofort wieder im Netz aktiv werden können und das böse Spiel von vorne beginnt.

(ju)