Die Anti-Malware-Abteilung von Palo Alto Networks, Unit 42, hat mit „Amnesia“ eine neue Variante des IoT/Linux Botnets „Tsunami“ entdeckt. Dieses neue Botnet attackiert eine Schwachstelle der digitaler Videorecorder (DVRs) des Anbieters TVT Digital in über 70 Ländern. Damit gerate knapp 230.000 Endgeräte ins Visier.

Palo Alto Networks geht davon aus, das Amnesia die erste Linux-Malware ist, die eine Technologie verwendet, mit der sie auch virtuelle Maschinen täuschen kann um die Analysewerkzeuge von Sandboxes zu umgehen. Bisher war diese Methode nur beim Malware aufgetreten, die Microsoft Windows und Google Android angegriffen hat.

Amnesia versucht herauszufinden, ob sich die Malware in einer virtuellen Maschine wie VirtualBox, VMware oder QEMU befindet. Wenn die Malware ein solche Umgebung entdeckt, dann löscht sie das virtualisierte Linux System indem sie alle Dateien im Filesystem löscht. Diese Vorgehen sehen die Anti-Malware-Forscher nicht nur in Linux Malware-Analyse-Sandboxes sondern auch auf einigen QEMU-basierten Linux-Servern in einer VPS-oder Public Cloud-Umgebung.

Die neuartige Malware nutzt eine Schwachstelle zur Remote-Ausführung von Code indem sie aktiv nach angreifbaren System sucht, diese lokalisiert und infiziert. Obwohl die Schwachstelle in den DVRs seit über einem Jahr bekannt ist, so wurde sie noch nicht beseitigt und ist nun ein Einfallstor für Attacken.

Im Fall einer erfolgreichen Attacke übernimmt die Malware das infizierte Endgerät komplett. Die Angreifer können das Amnesia Botnet nutzen um große DDoS-Attacken zu starten, die den Mirai Botnet-Angriffen aus dem vergangenen Herbst ähnlich sind. Diese Angriffe im vergangenen Jahr waren äußerst umfangreich und schädlich

Neben der Bedrohung, die durch das Amnesia Botnet entstehet, offenbart die erste Linux-Malware dieser Art einige interessante Eindrücke und veranschaulicht Trends bei IoT/Linux-Botnets:

IoT/Linux-Malware nutzt nun auch klassische Techniken zur Täuschung von virtuellen Maschinen.
IoT/Linux-Malware adressiert und attackiert Schwächen in der Software zur Fernsteuerung von IoT-Endgeräten. Diese stammen meist von kleineren Herstellern, die häufig keine Patches anbieten.
IoT/Linux-Malware kann auch Linux-Server befallen, die in VPS- oder Public Cloud-Umgebungen laufen.

New IoT/Linux Malware Targets DVRs, Forms Botnet – Palo Alto Networks Blog

Unit 42 researchers have identified a new variant of the IoT/Linux botnet „Tsunami“, which we are calling „Amnesia“. The Amnesia botnet targets an unpatched remote code execution vulnerability that was publicly disclosed over a year ago in March 2016 in DVR (digital video recorder) devices made by TVT Digital and branded by over 70 vendors worldwide (a listing of which can be found on the original vulnerability report we’ve linked to).