Prolexic Akamai
09.09.2014, 11:32 Uhr
DDoS-Malware auf Linux-Servern
Das Prolexic Security Engineering & Response Team von Akamai hat ein Botnetz aus Linux-Servern entdeckt, von dem aus gezielt DDoS-Attacken unter anderem gegen die Unterhaltungsindustrie ausgeführt werden.
Akamai Technologies hat unterstützt durch sein Prolexic Security Engineering & Response Team Details zu kürzlich erfolgten Distributed-Denial-of-Services (DDoS)-Attacken veröffentlicht. In einem Sicherheitshinweis warnt das Unternehmen vor hochgefährlichen Bedrohungen, die von IptabLes- und IptabLex-Malware auf Linux-Systemen ausgeht. Angreifer nutzen die infizierten Linux-Systeme für DDoS-Attacken gegen Unternehmen aus der Unterhaltungsindustrie, aber auch aus anderen Branchen. Der ausführliche Sicherheitshinweis steht zum Download bereit unter: www.prolexic.com/iptablex.
Die massenhafte Infektion scheint den Erkenntnissen von Akamai zufolge durch Webserver unter Linux verursacht zu sein, auf denen bekannte Sicherheitslücken in Apache-Diensten wie Struts, Tomcat and Elasticsearch ausgenutzt werden. Hacker nutzen Schwachstellen auf nicht gepatchten Systemen, platzieren Schadcode und erhalten so die Kontrolle über die Server, die sie dann in ein remote gesteuertes DDoS-Botnetz einbinden.
Hinweise auf eine vorhandene Infektion sind die Einträge ".IptabLes" oder ".IptabLex" im /boot directory. Das Erkennungsmerkmal ist der vorangesetzte Punkt im Dateinamen. Die Malware enthält eine Funktion, mit der sie sich eigenständig aktualisiert. Dabei stellt ein infiziertes System den Kontakt zu einem Host her und lädt ein File.
Die Command and Control Center (C2 und CC) befinden sich aktuell in Asien, ebenso wie die infizierten Systeme. In der letzten Zeit hat Akamai aber auch schon entsprechende Server in den USA und in anderen Regionen entdeckt. Anfangs befanden sich die meisten infizierten Systeme in Russland, in der Zwischenzeit hat sich Asien zu einem Schwerpunkt entwickelt. Das Prolexic Security Engineering & Response Team rechnet mit einer weiteren Ausbreitung des DDoS-Botnetzes.
Zur Erkennung und Abwehr der IptabLes- und IptabLex-Malware sollten die Linux-Systeme mit den aktuellen Sicherheitsupdates und einer Antiviren-Software ausgestattet werden. In dem ausführlichen Sicherheitshinweis erläutert Akamai, wie IT-Administratoren infizierte Systeme mit Hilfe von Bash-Befehlen reinigen können. Darüber hinaus gibt es für die Open-Source-Malware-Erkennung Yara bereits einen entsprechenden Eintrag für IpTables. Ausführliche Details zu Gegenmassnahmen finden sich in dem Blog "Akamai Offers Further Guidance to Blunt Linux DDoS Threat" ( https://blogs.akamai.com/2014/09/akamai-gives-further-guidance-to-blunt-linux-ddos-threat.html#more ).
Die IptabLes- und IptabLex-Malware wurde bereits in umfangreichen DDoS-Kampagnen eingesetzt.
Die massenhafte Infektion scheint den Erkenntnissen von Akamai zufolge durch Webserver unter Linux verursacht zu sein, auf denen bekannte Sicherheitslücken in Apache-Diensten wie Struts, Tomcat and Elasticsearch ausgenutzt werden. Hacker nutzen Schwachstellen auf nicht gepatchten Systemen, platzieren Schadcode und erhalten so die Kontrolle über die Server, die sie dann in ein remote gesteuertes DDoS-Botnetz einbinden.
Hinweise auf eine vorhandene Infektion sind die Einträge ".IptabLes" oder ".IptabLex" im /boot directory. Das Erkennungsmerkmal ist der vorangesetzte Punkt im Dateinamen. Die Malware enthält eine Funktion, mit der sie sich eigenständig aktualisiert. Dabei stellt ein infiziertes System den Kontakt zu einem Host her und lädt ein File.
Die Command and Control Center (C2 und CC) befinden sich aktuell in Asien, ebenso wie die infizierten Systeme. In der letzten Zeit hat Akamai aber auch schon entsprechende Server in den USA und in anderen Regionen entdeckt. Anfangs befanden sich die meisten infizierten Systeme in Russland, in der Zwischenzeit hat sich Asien zu einem Schwerpunkt entwickelt. Das Prolexic Security Engineering & Response Team rechnet mit einer weiteren Ausbreitung des DDoS-Botnetzes.
Zur Erkennung und Abwehr der IptabLes- und IptabLex-Malware sollten die Linux-Systeme mit den aktuellen Sicherheitsupdates und einer Antiviren-Software ausgestattet werden. In dem ausführlichen Sicherheitshinweis erläutert Akamai, wie IT-Administratoren infizierte Systeme mit Hilfe von Bash-Befehlen reinigen können. Darüber hinaus gibt es für die Open-Source-Malware-Erkennung Yara bereits einen entsprechenden Eintrag für IpTables. Ausführliche Details zu Gegenmassnahmen finden sich in dem Blog "Akamai Offers Further Guidance to Blunt Linux DDoS Threat" ( https://blogs.akamai.com/2014/09/akamai-gives-further-guidance-to-blunt-linux-ddos-threat.html#more ).
Die IptabLes- und IptabLex-Malware wurde bereits in umfangreichen DDoS-Kampagnen eingesetzt.
