l+f: Linux-Schadcode on Demand, direkt aus der Cloud
Die Betreiber des XOR.DDoS-Botnets haben eine eigene Build-Farm, um Schadcode dynamisch so zu generieren, dass er zu gehackten Linux-Servern passt.
- Fabian A. Scherschel
Wer einen eigenen Linux-Server administriert, kennt das Problem: Tausende von Login-Versuchen auf den Standard-SSH-Ports am Tag. Die Zugriffe kommen oft von chinesischen IP-Adressen und es wird versucht, mit Brute Force das SSH-Passwort zu knacken.
FireEye hat untersucht, was diese Angreifer machen, wenn sie ins System gelangen: Die Betreiber des XOR.DDoS-Botnets fĂĽhren ein SSH-Skript aus, welches Kontakt zu einer Build-Infrastruktur der Hacker in der Cloud aufnimmt, ihr die Kernel-Version und andere Systemdaten schickt und dann passende Malware zusammenzimmert. Diese wird dann auf den geknackten Zielserver gespielt.
lost+found: Die heise-Security-Rubrik fĂĽr Kurzes und Skuriles aus der IT-Security (fab)