Cybersicherheitsexperten haben eine neue, hochentwickelte Variante der Linux-Malware Skidmap entdeckt, die einen raffinierten Rootkit einsetzt, um verstecktes Kryptomining auf kompromittierten Systemen durchzuführen. Die Malware zielt hauptsächlich auf Unternehmensnetzwerke und Cloud-Umgebungen ab, wo sie von leistungsstarker Hardware profitieren kann.
Funktionsweise und Verbreitungsmethoden
Skidmap infiltriert Systeme durch die Ausnutzung von Schwachstellen oder Fehlkonfigurationen, insbesondere in Redis-Datenbanken. Nach der Infektion installiert die Malware einen bösartigen Kernel-Modul-Rootkit, der die Aktivitäten des Miners maskiert, indem er Informationen über CPU-Auslastung und Netzwerkaktivität fälscht.
Forscher von Dr. Web haben die Verbreitung von Skidmap mithilfe eines Honeypot-Servers untersucht. Sie stellten fest, dass der Server monatlich zwischen 10.000 und 14.000 Angriffsversuche verzeichnete. Bei einem kürzlichen Angriff nutzte die Malware eine neue Methode zur Verbergung ihrer Aktivitäten und installierte gleich vier verschiedene Backdoors auf dem infizierten System.
Komplexe Infektionskette und Tarnungsmechanismen
Der Infektionsprozess von Skidmap ist mehrstufig und ausgeklügelt:
- Ein Dropper-Skript wird alle 10 Minuten über den Cron-Scheduler ausgeführt.
- Der Dropper lädt eine ausführbare Datei herunter, die die Kernel-Version überprüft und SELinux deaktiviert.
- Anschließend werden der Rootkit, der Miner und mehrere Backdoors entpackt und installiert.
Der Rootkit übernimmt die Kontrolle über wichtige Systemaufrufe, um gefälschte Informationen an Administratoren zu liefern. Er verhindert auch das Laden von Kernel-Modulen, die seine Anwesenheit aufdecken könnten. Diese Techniken ermöglichen es dem Miner, nahezu unentdeckt zu bleiben.
Zusätzliche Bedrohungen durch Backdoors
Neben dem Mining-Trojan installiert Skidmap mehrere Backdoors, die verschiedene Funktionen erfüllen:
- Erfassen und Übermitteln von SSH-Anmeldedaten
- Erstellen eines Master-Passworts für alle Systemkonten
- Ermöglichen der Fernsteuerung des infizierten Systems
Diese zusätzlichen Komponenten geben den Angreifern weitreichende Kontrolle über das kompromittierte System und ermöglichen potenziell weitere schädliche Aktivitäten.
Herausforderungen bei der Erkennung
Die Entdeckung von Skidmap auf infizierten Systemen ist äußerst schwierig. Der Rootkit manipuliert Systemdiagnose-Tools, sodass herkömmliche Überwachungsmethoden unwirksam sind. Erhöhter Stromverbrauch und Wärmeentwicklung können mögliche Hinweise auf eine Infektion sein, sind aber keine eindeutigen Indikatoren.
Die Entwickler von Skidmap haben die Malware im Laufe der Zeit verfeinert und ihre Tarnungsfähigkeiten verbessert. Sie können die Mining-Aktivität so anpassen, dass ein Gleichgewicht zwischen Leistung und Unauffälligkeit erreicht wird, was die Erkennung weiter erschwert.
Angesichts der zunehmenden Raffinesse von Malware wie Skidmap ist es für Unternehmen entscheidend, ihre Cybersicherheitsmaßnahmen zu verstärken. Dies umfasst regelmäßige Sicherheitsaudits, die Implementierung von Verhaltensanalyse-Tools und die Schulung von IT-Personal in fortgeschrittenen Erkennungstechniken. Nur durch einen mehrschichtigen Sicherheitsansatz können Organisationen sich vor solch ausgeklügelten Bedrohungen schützen.