Home » News » Ebury-Rootkit BSI warnt vor neuerlicher Ausbreitung

Ebury-Rootkit BSI warnt vor neuerlicher Ausbreitung

NewsDas Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer offiziellen Pressemitteilung vor einer neuerlichen Ausbreitung des „Ebury-Rootkits“, dessen Verantwortliche mittlerweile Tausende von Servern infiziert und für sogenannte „Drive-by-Exploits“ missbraucht haben. Trotz ausreichend hoher Sicherheitsstandards soll sich Ebury jedoch weiter ausbreiten. Zahlreiche deutsche Server seien bereits infiziert, berichtet das BSI.

Das auf eine Sicherheitslücke in SSH abzielende Ebury-Rootkit ist kein neues Problem, bereits im Jahre 2013 entdeckte das Computer Emergency Response Team (CERT) des BSI die Schadsoftware auf mehreren Servern. Selbstverständlich wurden Hosting-Provider zeitnah über eine Infektion informiert, die Weitergabe dieser Informationen wurde jedoch in den Händen der Provider belassen. Dies könnte nun das Problem ausgelöst haben, denn wie das BSI heute berichtet, geht man davon aus, dass diese zu lange benötigt haben, um ihre Kunden über die Schadsoftware zu unterrichten. So gab man unwillentlich dem Rootkit Zeit, Passwörter auszuspäen und zeitweise sogar komplett übernommen zu werden, was wiederum für eine weitere Ausbreitung sorgte.

Woher das Ebury-Rootkit stammt, ist bis heute noch nicht bekannt. Die Schadsoftware nutzt eine Sicherheitslücke beim Austausch von SSH-Binärdaten oder kann auf kompromittierten Systemen direkt per gemeinsam genutzter Bibliothek installiert werden. Ist das System infiziert, werden jegliche Verbindungen per SSH überwacht und als Datenpakete an einen Dropzone-Server übermittelt. Zudem öffnet das Rootkit eine Backdoor zum Server, das System kann also jederzeit vom Angreifer übernommen werden. Das Internet-Magazin „Heise Security“ hat in diesem Zusammenhang herausgefunden, dass die von Ebury infizierten Server unter anderem für den Massenversand von Spam E-Mails sowie das Ausführen sogenannter „Drive-by-Exploits“ genutzt werden. Auch eine Verwendung für die Verbreitung weiterer Viren und Trojaner wäre denkbar, falls auf betreffenden Servern manipulierte Internetseiten installiert werden, die beispielsweise Sicherheitslücken ausnutzen, um dem ahnungslosen Nutzer Schadsoftware unterzuschieben.

Vor allem für Nutzer ohne Root-Access, wie es bei vielen vServer-Angeboten der Fall ist oder wenn vorkonfektionierte Server gemietet werden, ist die Erkennung, ob dieser bereits infiziert ist, nicht leicht, berichtet das BSI. Deswegen richtet man sich eindringlich an die Provider, Meldungen mit kompromittierten IP-Adressen ernst zu nehmen und Nutzer zeitnah davon in Kenntnis zu setzen. User mit Root-Access hingegen können mithilfe von zwei Methoden selbst überprüfen, ob das System vom Ebury-Rootkit betroffen ist. Zunächst könne man sich über die Eingabe des Befehls „ipcs -m“ die sogenannten „Shared Memory Segmente“ ansehen, wo sich das Rootkit ein Segment von etwa 3 Megabyte reservieren soll, dass auffälligerweise die vollen Rechte (perm: 666) anfordern würde. Hat man keinen Root-Access, lässt sich zumindest über den Netzwerkverkehr ein erstes Indiz über die Infizierung sammeln. Hier soll der Hostname der Anfrage aus einer unüblichen langen Abfolge wahllos aneinander gereihter Ziffern bestehen.


Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.