Frankfurt, 13. April 2016

Neue Backdoor-Trojaner, die Befehle per Fernzugriff ausführen können, sind ein wichtiges Thema in der IT-Sicherheitsszene, besonders wenn diese auf das Betriebssystem Linux abzielen. Im April 2016 haben die Virenanalysten von Doctor Web mehrere Trojaner mit ähnlichen Funktionalitäten entdeckt: Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 und Linux.BackDoor.Xudp.3.

Das erste Glied in der Infizierungskette ist eine ELF-Datei, die durch Dr.Web Antivirus als Linux.Downloader.77 identifiziert wird. Bemerkenswert ist, dass dieser Schädling für Angriffe durch das Versenden von UDP-Paketen geeignet ist. Linux.Downloader.77 ist eine Trojaner-Version der oben erwähnten böswilligen Anwendung. Das potenzielle Opfer lädt die Applikation herunter und startet diese. Danach fragt der Schädling nach Root-Rechten. Wenn ihm die Root-Rechte verweigert werden, bricht er ab. Nicht selten verfügen diese Programme jedoch über verdeckte Funktionen – sie können u.a. andere gefährliche Anwendungen aus dem Internet herunterladen. Linux.Downloader.77 ist hier keine Ausnahme.

Wenn Linux.Downloader.77 Root-Rechte bekommt, lädt er vom Server der Cyber-Kriminellen ein anderes Skript (Linux.Downloader.116) herunter und startet es. Dieses Szenario lädt u.a. Linux.BackDoor.Xudp.1 herunter, speichert den Schädling als /lib/.socket1 oder /lib/.loves ab, platziert ihn im Autostart-Verzeichnis /etc/ als rc.local und stellt das automatische Starten des Schädlings im Cron-Zeitplan sicher. Darüber hinaus wird der Inhalt von iptables geleert.

Nachdem Linux.BackDoor.Xudp.1 gestartet wurde, entschlüsselt er seine Konfigurationsdaten und übermittelt Informationen zum infizierten PC an den Server der Cyber-Kriminellen. Danach startet er drei unabhängige Protokolle. Im ersten Schritt geht dies via HTTP: der Trojaner versendet eine Nachricht, dass er gestartet wurde, erhält einen Schlüssel zur Kodierung von Nachrichten, Serverdaten und Portnummern. Danach sendet Linux.BackDoor.Xudp.1 in einem definierten Zeitintervall Anfragen für mögliche Befehle vom Server. Dieser Algorithmus kann womöglich zum Update des Schädlings verwendet werden. Alle eingehenden Befehle sind verschlüsselt und der Trojaner entschlüsselt diese durch einen speziellen Schlüssel.

Im zweiten Schritt erwartet Linux.BackDoor.Xudp.1 Befehle via UDP vom Server. Im dritten Schritt versendet der Schädling schließlich Nachrichten an den Server, dass er immer noch aktiv ist.

Unter den Befehlen, die Linux.BackDoor.Xudp.1 ausführen kann, sind u.a. das ständige Versenden von Anfragen, DDoS-Angriffe und willkürliche Aktionen auf einem infizierten PC. Linux.BackDoor.Xudp.1 ist auch in der Lage, Ports im definierten Bereich von IP-Adressen zu scannen, Dateien auf Befehl zu starten sowie andere Aufgaben auszuführen. Die Virenanalysten von Doctor Web haben herausgefunden, dass dieser Bösewicht ständig verbessert und aktualisiert wird.

Die Trojaner Linux.BackDoor.Xudp.2 und Linux.BackDoor.Xudp.3 sind verbesserte Versionen von Linux.BackDoor.Xudp.1, die sich u.a. durch Namen, den Umfang von versendeten Daten und auszuführenden Befehlen unterscheiden. All diese böswilligen Applikationen werden durch Dr.Web Antivirus für Linux erfolgreich entdeckt und stellen für Benutzer von Dr.Web keine Gefahr dar.