Ebury-Rootkit: Zombie-Server greifen täglich eine halbe Million Rechner an

Zu den Opfern der Malware-Kampagne "Operation Windigo" gehören unter anderem kernel.org und cPanel. Die mit dem Ebury-Rootkit infizierten Server versenden Spam und attackieren Besucher der kompromittierten Webseiten.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Experten der Sicherheitsfirma Eset haben eine Studie über das Ebury-Rootkit veröffentlicht. Das Unix-Rootkit hat in den letzten zweieinhalb Jahren weltweit über 25.000 Server infiziert und mit deren Hilfe bis zu 500.000 Nutzer am Tag mit Spam und Malware bombardiert. Die an der Untersuchung beteiligten Forscher von Eset, dem CERT-Bund und des schwedischen Forschungsinstituts SNIC haben die Angriffswelle nach einem mythischen Menschenfresser "Operation Windigo" getauft.

Haben die Ganoven einen Server mittels Ebury in ihre Gewalt gebracht, versenden sie Spam und versuchen, über die dort gehosteten Webseiten Windows-Nutzern Malware mittels eines Exploit-Kits unterzuschieben. Mac-OS-Nutzer bekommen hingegen Werbung für Dating-Webseiten angezeigt und iPhone-Besucher werden auf Pornoseiten weitergeleitet. Sowohl das offizielle Quellcode-Depot für den Linux Kernel (kernel.org) als auch die Webserver-Kontrollsoftware cPanel gehörten zu den Opfern von Operation Windigo.

Die Angreifer hangeln sich mittels abgegriffener SSH-Zugangsdaten von Server zu Server

(Bild: Eset)

Auf betroffenen Systemen, meist Linux-Webservern, übernimmt das Ebury-Rootkit das SSH-Programm und kompromittiert so den wichtigsten Administrator-Zugang. Durch diese heimtückische Funktion greifen die Angreifer alle Login-Credentials ab, die danach auf dem Server verwendet werden. So können sich die Täter von Server zu Server hangeln. Heise Security hatte über diese Angriffe schon Anfang letzten Jahres berichtet. Nach wie vor ist nicht bekannt, ob noch andere Angriffsvektoren im Spiel sind, um das Rootkit zu platzieren.

Eset empfiehlt Unix-Administratoren dringend, ihre Server zu prĂĽfen und gegebenenfalls komplett neu zu installieren. Da der Output des ssh -G Befehls auf sauberen Systemen "illegal option -- G" zurĂĽck gibt, auf einem mit Ebury infizierten Server aber nur die richtige Syntax des Befehls, kann man mit dem folgenden Kommando testen, ob ein System befallen ist:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

Die 68-seitige Studie (PDF), die Operation Windigo im Detail beschreibt, kann von der Eset-Webseite heruntergeladen werden.

Der in der Eset-Studie vorgeschlagene Test zum Enttarnen einer infizierten SSH-Version sollte nicht auf Systemen benutzt werden, die OpenSSH mit dem X.509-Patch von Roumen Petrov einsetzen. Dieser Patch fügt dem SSH-Programm Unterstützung für X.509-PKI-Zertifikate hinzu und enthält seit September 2013 eine -G Option, die mit dem Befehl von Eset fälschlicherweise zu einer Infektionswarnung führt. (fab)