Abcbot – Eine neue, sich entwickelnde, wurmfähige Botnet-Malware, die auf Linux abzielt

  • Forscher des Netlab-Sicherheitsteams von Qihoo 360 haben Details zu einem neuen, sich entwickelnden Botnet namens “Abcbot” veröffentlicht, das in freier Wildbahn mit wurmähnlichen Verbreitungsfunktionen beobachtet wurde, um Linux-Systeme zu infizieren und verteilte Denial-of-Service-Angriffe (DDoS) gegen Ziele zu starten.

    Während die früheste Version des Botnetzes auf Juli 2021 zurückgeht, wurden neue Varianten, die erst am 30. Oktober beobachtet wurden, mit zusätzlichen Updates ausgestattet, um Linux-Webserver mit schwachen Passwörtern anzugreifen, und sind anfällig für N-Day-Schwachstellen, einschließlich einer benutzerdefinierten Implementierung von DDoS-Funktionen, was darauf hindeutet, dass die Malware kontinuierlich weiterentwickelt wird.

    Die Ergebnisse von Netlab stützen sich auch auf einen Bericht von Trend Micro von Anfang letzten Monats, in dem Angriffe auf die Huawei Cloud mit Kryptowährungs-Mining- und Kryptojacking-Malware veröffentlicht wurden. Die Angriffe waren auch deshalb bemerkenswert, weil die bösartigen Shell-Skripte speziell einen Prozess deaktivierten, der die Server auf Sicherheitsprobleme überwachen und scannen sowie die Passwörter der Benutzer für den Elastic-Cloud-Service zurücksetzen sollte.

    [Blocked Image: https://thehackernews.com/images/-HgiHdbUpRRQ/YVHQqGahs-I/AAAAAAAA4Zw/NYGHBa999kAbbWpf3DZihmdmxCK2WjzgwCLcBGAsYHQ/s300-e100/rewind-2-300.png]

    Nach Angaben des chinesischen Internet-Sicherheitsunternehmens werden diese Shell-Skripte nun zur Verbreitung von Abcbot verwendet. Bislang wurden insgesamt sechs Versionen des Botnetzes beobachtet.

    Sobald die Malware auf einem kompromittierten Host installiert ist, löst sie eine Reihe von Schritten aus, die dazu führen, dass das infizierte Gerät zu einem Webserver umfunktioniert wird. Darüber hinaus meldet sie die Systeminformationen an einen Command-and-Control-Server (C2), verbreitet die Malware auf neue Geräte, indem sie nach offenen Ports sucht, und aktualisiert sich selbst, sobald ihre Betreiber neue Funktionen bereitstellen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEiGOmxcaB3FUs6wS4zVIf7-tI-wBEo3kUQXcfHb4-jPK0YBBn_-Ydg0FQda4t9mh3EQiiqgDM6gm7JHLcgVHPSs0Ij2WZYM3Iv2tzG8Fkse4Y0swiu4C-VZzKfvZnGy8qvhTMZwV54gg4ZZpQMKMiKIhf8vCQYmmJBmdcMRKEUjLk_i9PZEzBZ7gCYK=s728-e1000]

    “Interessant ist, dass die Probe [updated] am 21. Oktober das Open-Source-ATK-Rootkit verwendet, um die DDoS-Funktion zu implementieren”, ein Mechanismus, von dem die Forscher sagen, dass “Abcbot den Quellcode herunterladen, kompilieren und das Rootkit-Modul laden muss, bevor es die DDoS-Funktion ausführt. [a] DDoS-Angriff ausführt”.

    “Dieser Prozess erfordert zu viele Schritte, und jeder Schritt, der fehlerhaft ist, führt zum Scheitern der DDoS-Funktion”, stellten die Forscher fest, was den Angreifer dazu veranlasste, den Standardcode durch ein benutzerdefiniertes Angriffsmodul in einer am 30. Oktober veröffentlichten Version zu ersetzen, die das ATK-Rootkit vollständig aufgibt.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Die Ergebnisse kommen etwas mehr als eine Woche, nachdem das Netlab-Sicherheitsteam Details über ein “Pink”-Botnet veröffentlicht hat, das vermutlich über 1,6 Millionen Geräte vor allem in China infiziert hat, um DDoS-Angriffe zu starten und Werbung in HTTP-Websites einzufügen, die von ahnungslosen Benutzern besucht werden. In diesem Zusammenhang hat AT&T Alien Labs eine neue Golang-Malware mit dem Namen “BotenaGo” vorgestellt, die über dreißig Exploits nutzt, um potenziell Millionen von Routern und IoT-Geräten anzugreifen.

    “Der Aktualisierungsprozess in diesen sechs Monaten ist nicht so sehr ein kontinuierliches Upgrade von Funktionen als vielmehr ein Kompromiss zwischen verschiedenen Technologien”, so die Schlussfolgerung der Forscher. “Abcbot bewegt sich langsam von den Kinderschuhen zur Reife. Wir betrachten dieses Stadium nicht als die endgültige Form, es gibt offensichtlich noch viele Bereiche, in denen Verbesserungen oder Funktionen entwickelt werden müssen.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com