l+f: Linux-Schadcode on Demand, direkt aus der Cloud

Die Betreiber des XOR.DDoS-Botnets haben eine eigene Build-Farm, um Schadcode dynamisch so zu generieren, dass er zu gehackten Linux-Servern passt.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Wer einen eigenen Linux-Server administriert, kennt das Problem: Tausende von Login-Versuchen auf den Standard-SSH-Ports am Tag. Die Zugriffe kommen oft von chinesischen IP-Adressen und es wird versucht, mit Brute Force das SSH-Passwort zu knacken.

FireEye hat untersucht, was diese Angreifer machen, wenn sie ins System gelangen: Die Betreiber des XOR.DDoS-Botnets führen ein SSH-Skript aus, welches Kontakt zu einer Build-Infrastruktur der Hacker in der Cloud aufnimmt, ihr die Kernel-Version und andere Systemdaten schickt und dann passende Malware zusammenzimmert. Diese wird dann auf den geknackten Zielserver gespielt.

lost+found: Die heise-Security-Rubrik für Kurzes und Skuriles aus der IT-Security (fab)