l+f: Linux-Schadcode on Demand, direkt aus der Cloud
Die Betreiber des XOR.DDoS-Botnets haben eine eigene Build-Farm, um Schadcode dynamisch so zu generieren, dass er zu gehackten Linux-Servern passt.
Wer einen eigenen Linux-Server administriert, kennt das Problem: Tausende von Login-Versuchen auf den Standard-SSH-Ports am Tag. Die Zugriffe kommen oft von chinesischen IP-Adressen und es wird versucht, mit Brute Force das SSH-Passwort zu knacken.
FireEye hat untersucht, was diese Angreifer machen, wenn sie ins System gelangen: Die Betreiber des XOR.DDoS-Botnets [1] führen ein SSH-Skript aus, welches Kontakt zu einer Build-Infrastruktur der Hacker in der Cloud aufnimmt, ihr die Kernel-Version und andere Systemdaten schickt und dann passende Malware zusammenzimmert. Diese wird dann auf den geknackten Zielserver gespielt.
lost+found [2]: Die heise-Security-Rubrik für Kurzes und Skuriles aus der IT-Security (fab [3])
URL dieses Artikels:
https://www.heise.de/-2543470
Links in diesem Artikel:
[1] https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html
[2] http://www.heise.de/security/suche/?q=lost%2Bfound&search_submit.x=0&search_submit.y=0&rm=search
[3] mailto:contact@fab.industries
Copyright © 2015 Heise Medien