Frankfurt, 5. Februar 2015

Die IT-Sicherheitsanalysten von Doctor Web haben die funktionsreiche Backdoor für Linux analysiert. Der Schädling ist in der Lage, vielfältige Befehle der Cyberkriminellen auszuführen, DDoS-Angriffe zu starten und vieles mehr.

Die neue Backdoor für Linux, die in der Dr.Web Virendatenbank unter dem Namen Linux.BackDoor.Xnote.1 geführt wird, verbreitet sich ähnlich wie andere Trojaner für ein solches Betriebssystem. Die Cyberkriminellen suchen Passwörter aus und brechen via SSH in Benutzerkonten ein. Es gibt viele Gründe für die Annahme, dass die Backdoor von chinesischen Cyberverbrechern aus der Gruppe ChinaZ entwickelt wurde.

Zunächst prüft Linux.BackDoor.Xnote.1, ob im System bereits eine Kopie der Backdoor läuft. Wenn diese gefunden wird, bricht sie sich ab. Die Installation eines Schädlings erfolgt nur, wenn sie mit Root-Rechten gestartet wurde. Während der Installation erstellt der Trojaner seine Kopie im Verzeichnis /bin/ (Dateiname iptable6) und löscht die Ausgangsdatei. Im Verzeichnis /etc/init.d/ sucht der Schädling nach Szenarien, die mit "!#/bin/bash" anfangen und fügt eine neue Zeile ein, die für das Starten der Backdoor verantwortlich ist.

Zum Datenaustausch mit den Cyberkriminellen verwendet der Schädling folgende Methode: er sucht in seinem Körper nach einer Zeile, die auf einen verschlüsselten Datenblock hinweist und entschlüsselt ihn. Danach fragt er die Verwaltungsserver der Reihe nach ab, bis er einen funktionierenden Server findet oder es keine verfügbaren Server mehr gibt. Vor dem Übertragen von Datenpaketen werden sie durch den Schädling und den Verwaltungsserver via zlib-Bibliothek komprimiert.

Zunächst sendet Linux.BackDoor.Xnote.1 Informationen zum infizierten System an den Server der Cyberkriminellen. Danach wartet er auf einen Befehl des Verwaltungsservers. Wenn der Befehl eine Aufgabe vorsieht, wird ein Prozess erstellt, der eine Verbindung zum Verwaltungsserver aufbaut und alle notwendigen Konfigurationsdaten für die Auftragserfüllung erhält.

So kann Linux.BackDoor.Xnote.1 z.B. auf Befehl der Cyberkriminellen dem infizierten Rechner eine ID zuweisen, einen DDoS-Angriff (u.a. SYN Flood, UDP Flood, HTTP Flood und NTP Amplification) auf einen entfernten Rechner mit einer definierten IP-Adresse starten und abbrechen, die ausführbare Datei der Backdoor aktualisieren, Daten in einer Datei speichern oder sich selbst löschen. Und noch mehr: nachdem er einen Befehl erhalten hat, sendet Linux.BackDoor.Xnote.1 Informationen zum Dateisystem eines infizierten PCs (u.a. Datenblock im Dateisystem, freie Datenblöcke usw.) an den Verwaltungsserver und kann inzwischen folgende Kommandos ausführen:

• Dateien und Verzeichnisse im angegebenen Verzeichnis zählen
• Dem Server die Dateigröße mitteilen
• Datei erstellen, wo eingehende Daten gespeichert werden können
• Datei empfangen
• Protokoll an den Verwaltungsserver senden
• Datei löschen
• Verzeichnis löschen
• Dem Verwaltungsserver ein Signal über die Empfangsbereitschaft senden
• Verzeichnis erstellen
• Datei umbenennen
• Datei starten

Darüber hinaus kann der Trojaner eine Shell mit definierten Variablen des Umfeldes starten, dem Verwaltungsserver Zugangsdaten übergeben, auf einem infizierten Rechner SOCKS Proxy oder die eigene Serverversion Portmap starten.

Die Virensignatur für den Schädling wurde bereits in die Dr.Web Virendatenbank aufgenommen. Die Benutzer von Dr.Web Antivirus für Linux sind gegen diesen Trojaner zuverlässig geschützt.