Erste Linux-Malware mit Anti-Sandbox-Funktionen entdeckt

Experten von Palo Alto Networks haben ihren Angaben zufolge erstmals eine Linux-Malware, die enteckt, die virtuelle Maschinen erkennen und löschen kann, um sich so gegen Sandboxes mit Analysewerkzeugen zu wehren. Um keine Spuren zu hinterlassen, löscht sich die “Amnesia” gennante Malware zudem selbst.

Solche Methoden um virtuelle Maschinen zu umgehen seien bislang nur von Schadsoftware für Windows und Android bekannt gewesen. Ähnlich wie diese versuche Amnesia zu ermitteln, ob sie auf VirtualBox, VMware oder QEMU in einer virtuellen Maschine läuft. Ist das dr Fall, löscht sie alle Dateien im Dateisystem eines virtalisierten Linux, also nicht nur Sandboxen zum Aufspüren von Malware, sondern unter Umständen auch QUEMU-basierte Linux-Server in VPS- oder Public-Cloud-Umgebungen.

Amnesia ist Palo Alto Networks zufolge eine Variante der Linux-Malware Tsunami, mit der sich die gleichnamigen IoT-Botnets aufbauen lassen. Die neue Malware suche nach anfälligen Systemen, um sie durch Remotecodeausführung zu übernehmen. Wie bei “Tsunami” könne ein dadurch errichtetes Botnet für Denial-of-Service-Angriffe genutzt werden. Palo Alto hält ähnlich umfassend angelegte DDoS-Attacken wie durch die Mirai-Botnets für möglich.

Entdeckt wurde Amnesia auf digitalen Videorekordern. Dort wurde die Malware offenbar über eine Sicherheitslücke, die seit einem Jahr bekannt ist aber bislang offenbar noch nicht behoben ist. Den Sicherheitsforscher zufolge, weisen rund 227.000 Geräte des Hersteller TVT Digital diese Schwachstelle auf. Sie wurden aber unter mehreren Markennamen weltweit von über 70 Anbietern verkauft. Damit ist Amnesia auch ein weiterer Beleg für die Anfälligkeit von vernetzten Geräten im Internet der Dinge (Internet of Things, IoT), bei denen es sich nicht um herkömmliche IT-Systeme handelt, und die unzureichenden Gegenmaßnahmen der mit dieser Materie nicht vertrauten Gerätehersteller.

[mit Material von Bernd Kling, ZDNet.de]