Neues DDoS-Botnetz im Anmarsch - Chalubo attakiert schlecht geschützte SSH-Server

Neues DDoS-Botnetz im Anmarsch - Chalubo attakiert schlecht geschützte SSH-Server

ID: 1664125

Designelemente in der Schadsoftware machen IoT-Geräte als Hauptziel wahrscheinlich; Code-Elemente vom berühmt-berüchtigten Mirai-Botnetz verwendet



(PresseBox) - Im August dieses Jahres hat sich ein neues Botnetz auf den Weg gemacht und attackiert schlecht gesicherte SSH-Server. SophosLabs hat sich das unter dem Namen Chalubo oder auch ChaCha-Lua-bot aktive Schadprogramm näher angeschaut und herausgefunden, dass es die riesige Anzahl globaler Linux-Server angeht, die SSH (Secure Shell) für Remote-Administration nutzen. Dazu gehört heutzutage auch die ständig wachsende Anzahl an IoT-Geräten. Chalubo scannt dazu im großen Stil IP-Adressen und sucht nach Geräten, die SSH auf Port 22 verwenden. Die gefundenen ?Opfer? werden dann per Brute Force angegangen, indem Standard- oder schwache Passwörter durchprobiert werden. Das ultimative Ziel der Hacker ist es dabei, Malware auf die Geräte herunterzuladen und auszuführen. Dadurch können zu einem beliebigen Zeitpunkt DDoS-Attacken (Distributed Denial of Service) per DNS, UDP oder SYN Flood gestartet werden.

Im folgenden Beispiel, das die SophosLabs analysiert haben, war das Angriffsziel eine einzelne chinesische IP-Adresse. Grundsätzlich ist jedoch jedes Netzwerk anfällig für diese Art der Attacke.

?Allerdings weisen viele Designelemente der Malware darauf hin, dass vor allem IoT-Geräte im Chalubo-Fokus stehen?, so Michael Veit, IT Security Experte bei Sophos. ?Interessant ist außerdem, dass die Schadsoftware einige Code-Elemente aus der Mirai-Malware-Familie enthält, die 2016 mehr als eine halbe Million IoT-Geräte kompromittiert hatte.?

Bei der Untersuchung des Command and Control Servers des Angreifers stellten die SophosLabs außerdem fest, dass noch eine zweite Malware namens Linux/DDoS-BD (Linux/BillGates) eingesetzt wird, die mit dem chinesischen Elknot-Botnetz aus dem Jahr 2014 in Verbindung gebracht wird. Wenn allerdings tatsächlich eine größer angelegte Aktion vorbereitet werden sollte, ist es sehr wahrscheinlich, dass Chalubo SSH im Hauptfokus hat. Es wird häufig als sichere Möglichkeit angesehen, nahezu alles zu nutzen, das auf Linux basiert.



?Allerdings ist SSH bei weitem nicht so gut gesichert wie es sein sollte?, so Michael Veit. ?Damit ist das Netzwerkprotokoll im besten Fall ein einladendes Ziel für Hacker und im schlechtesten ein Haftbarkeitsthema, da SSH nicht nur für Shell-Logins, sondern auch für Proxy Tunnelling und Datentransfer genutzt werden kann.?

Wie kann Linux/Chalubo-A entdeckt werden? Eine Möglichkeit ist es, nach ausgehendem C&C-Traffic auf Port 8852 zu suchen, auch wenn dieser Weg nicht immer genutzt wird. Es ist zudem empfehlenswert, Logs auf fehlgeschlagene Login-Versuche zu prüfen oder darauf zu achten, ob Server plötzlich eine ungewöhnlich hohe Bandbreite benötigen. Der bessere Weg ist aber die Vorbeugung, indem Admins SSH sicher einsetzen. Wie bei allen Brute-Force-Attacken kann sich auch Chalubo erst dann so richtig austoben, wenn Standard- oder schwache Passwörter genutzt werden.

Michael Veit rät zu folgendem Vorgehen: ?Erster Schritt zur Brute-Force-Abwehr sollte ein starkes Passwort sein. Noch besser ist es allerdings, keine Passwörter zu verwenden und stattdessen auf eine SSH-Schlüsselauthentifizierung zu setzen. Hierbei haben Anwender den weiteren großen Vorteil, dass diese Art der Sicherung auch für verschiedene Server genutzt werden kann.?

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
drucken  als PDF  APplus ist ERP-System des Jahres für Professional Services AnyTrans erleichtert Datenübertragung auf iPhone XR
Bereitgestellt von Benutzer: PresseBox
Datum: 25.10.2018 - 13:54 Uhr
Sprache: Deutsch
News-ID 1664125
Anzahl Zeichen: 3707

Kontakt-Informationen:
Stadt:

Wiesbaden



Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 403 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Neues DDoS-Botnetz im Anmarsch - Chalubo attakiert schlecht geschützte SSH-Server"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Compliance wächst schneller als die Kapazitäten der IT-Teams ...
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun

Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit

Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru


Weitere Mitteilungen von Sophos Technology GmbH


APplus ist ERP-System des Jahres für Professional Services ...
Karlsruhe, 25.10.2018 - Gute Erfolgschancen im Zeitalter der Digitalisierung hat, wer sich bei der Betreuung seiner Software auf einen starken und effizienten Partner verlassen kann. Damit gerade Professional-Services-Anbieter diesem Anspruch gerecht werden können, benötigen diese ihrerseits eine

AX Semantics: Wenige Sekunden für Texterstellung in 110 Sprachen ...
Stuttgart - 25. Oktober 2018. Die Texterstellung in vielen verschiedenen Sprachen als eine der größten Hürden im E-Commerce zur Erschließung internationaler Märkte ist überwunden. Mit geeigneten Daten und nur wenigen Einstellungen kann jeder mehrere hunderttausend Texte innerhalb von kürzeste

DSGVO-Verstoß: 400.000 ? Bußgeld für KMU Unternehmen ...
Lange Zeit war es nach anfänglich großer Sorge der KMU-Unternehmen dann doch sehr ruhig geworden um das Thema Bußgelder im Zusammenhang mit der EU-DSGVO. Kürzlich dann erhitzte ein Gerichtsurteil aus Österreich die Gemüter. Darin ging es um Mieter-Klingelschilder, die aufgrund des Datenschutz

"Das Attiro ZH Clean-Out System im Zusammenspiel mit der Avatar V-ZH Druckplatte hat es uns ermöglicht, unsere gesamte CtP Vorstufe an den ...
Das Druckhaus Spandau testete als erstes Zeitungsunternehmen die neuesten Agfa Technologien: Attiro ZH und die Druckplatte Avatar V-ZH. Als Hauptstadtdruckerei verfügt das Druckhaus Spandau über hochautomatisierte Prozesse, um die Druckauftra?ge der Kunden termingerecht zu realisieren. Innovatione


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z