Anchor_linux verankert sich selbst als Cron-Job im System.
Gut, das darf im Normalfall jeder zugelassene User. man crontab
Wie es dorthin gelangt ist nicht klar, aber Trickbot sammelt unter anderem auf infizierten Systemen SSH-Schlüssel ein. Die Infektion des Linux-Servers könnte also etwa über den SSH-Zugang eines Admins erfolgen, dessen Arbeitsplatzrechner zuvor kompromittiert wurde.
Ah ja. Weil man die selbst genutzte Windows-Kiste nicht unter Kontrolle hat umgeht man also konsequenterweise auch die von Linux bzw. von ssh angebotenen Schutzmaßnahmen (PermitRootLogin no), damit Schadsoft, die die selbst genutzte Kiste infiziert hat, auch gleich noch den Zugang zu anderen Kisten bekommt. Oder wie jetzt?
Gut, zugegeben, ich hab mich damals in der Firma auch als root eingeloggt, aber immerhin hatte ich 'ne Linux-Kiste und kein Windows als Arbeitsgerät. Andererseits wird den Malware-Schreiber vermutlich auch das sudo su - bekannt sein, ein Login als User wird also nicht zwangsweise vor einer Infektion schützen.
Aber Windows als Sprungbrett, um auf Linux überzuspringen ... ist zumindestens "nett". Ideen haben die ja, die BlackHats.
Der Linux-Trojaner übermittelt Daten via DNS an seinen Kontrollserver und empfängt von diesem Befehle und Dateien.
Wenigstens das sollte man aber recht leicht unterbinden können, indem man Port 53 ausgehend an der Unternehmensfirewall sperrt und einen interenen DNS-Resolver nutzt.
Es arbeitet dabei ähnlich wie die bereits bekannten Windows-Versionen.
Häh? Traffic zum Ziel-Port 53 ausgehend nur für den DNS-Forwarder zuzulassen scheint wohl nicht allgemein üblich zu sein? Oder ist mir irgendwas entgangen?
Dazu kopiert er einen Windows-Trojaner auf eine Dateifreigabe und konfiguriert diesen anschließend via IPC als Dienst, der automatisch zu starten ist.
Davor sollte dann doch dieses Windows-Snakeoil schützen, oder?
Das "Schöne" ist aber, daß das halt nur Umgebungen betrifft, bei denen Windows die Hauptrolle spielt. Ich war bei der Überschrift schon etwas überrascht und habe mich gefragt, wie die auf 'ne (halbwegs abgesicherte) Linux-Kiste kommen wollen. So gesehen ... betrifft es mich nicht. Ich würde jetzt nicht so weit gehen und die Überschrift als Clickbait zu definieren (na gut: Freitags-Artikel). Aber irgendwie in die Richtung geht es schon.
Ich kann also entspannt ins WE gehen.
--
Stephan
Das Posting wurde vom Benutzer editiert (31.07.2020 18:02).