Neue Linux-Malware ‘HiddenWasp’ leiht sich Daten aus

HiddenWasp ist einzigartig für Linux-basierte Malware, da es auf Systeme zielt, um diese fernzusteuern.

Forscher haben eine neue Art von Malware identifiziert, die auf Linux-Systeme abzielt. Die Malware mit dem Namen HiddenWasp wird vermutlich als Teil eines Angriffs der zweiten Stufe gegen bereits beschädigte Systeme eingesetzt und besteht aus einem Rootkit, einem Trojaner und einem Deployment-Skript.

"Der Anteil der Linux-Bedrohungen ist im Laufe der Jahre deutlich gestiegen", sagte Nacho Sanmillan, ein Sicherheitsforscher der Intezer Labs, der die Malware analysiert hat. "Die Mehrheit der [Linux-]Malware ist jedoch entweder an IoT-, DDoS-Bots oder Kryptominersysteme gebunden.

Sanmillan sagte, das Einzigartige an HiddenWasp seien einige der Umgehungstechniken, die in der Malware implementiert sind, und dass es ein Rootkit enthält, das dazu dient, das Haupt-Trojaner-Implantat zu verstecken. "Rootkits sind keine Artefakte, die man häufig bei einfacher Linux-Malware findet.

Der Forscher sagte Threatpost, dass er glaubt, dass HiddenWasp bei gezielten Angriffen eingesetzt wird. "Der Hauptgrund, warum wir glauben, dass die Malware bei gezielten Angriffen eingesetzt wird, ist, dass sich der Einsatz solcher Implantate im Gegensatz zu anderen Linux-Malware-Typen wie Coinminern oder DDoS-Bots nicht eindeutig rentiert. Der einzige Zweck dieser Malware ist die Fernsteuerung einer bestimmten Gruppe von Systemen - die wahrscheinlich schon vorher bekannt war", sagte er.

Die Malware wurde von Sanmillan im April 2019 als unentdeckte Dateien auf VirusTotal gefunden. Die Dateien wurden ursprünglich von der in China ansässigen forensischen Firma Shen Zhou Wang Yun Information Technology Co. hochgeladen, deren Zeitstempel bis in den November 2018 zurückreichen.

"Die Rolle dieses Unternehmens ist nicht klar. Aber die Bedrohung war völlig unentdeckt, bis wir sie gemeldet haben", sagte Sanmillan gegenüber Threatpost. "Es gibt einige Ähnlichkeiten zwischen dieser Malware und anderen chinesischen Malware-Familien, aber die Zuschreibung wird mit geringer Zuversicht vorgenommen", so der Forscher.

Laut dem Blog-Post des Forschers, der die Malware analysiert und am Donnerstag veröffentlicht wurde, ist die Malware immer noch aktiv und hat eine "Null-Erkennungsrate in allen großen Antiviren-Systemen".

Die Analyse des Codes ergab, dass die Malware-Autoren einen Teil des Codes aus Open-Source-Malware-Varianten von Mirai und dem Azazel-Rootkit entlehnt haben. Der Großteil des Codes war jedoch einzigartig. Die Malware wies auch Ähnlichkeiten mit den jüngsten Winnti-Linux-Varianten auf, über die Forscher von Chronicle berichteten.

Die Forscher sagten, dass es HiddenWasp trotz der Entlehnung von Code und Heuristiken aus anderen Malware-Proben eindrucksvoll gelungen ist, von VirtusTotal und Linux-basierter Sicherheitssoftware unentdeckt zu bleiben.

Der Forscher nannte die Malware HiddenWasp aus zwei Gründen. Zum einen wegen der Art und Weise, wie das Rootkit und der Trojaner miteinander kommunizieren - unter Verwendung einer Umgebungsvariablen namens "I_AM_HIDDEN". Diese wird verwendet, um "die Sitzung des Trojaners für das Rootkit zu serialisieren, damit das Rootkit Umgehungsmechanismen auf andere Sitzungen anwenden kann".

Der Spitzname "Wespe" bezieht sich auf den Stachel des Angriffs.

"Die Tatsache, dass es dieser Malware gelingt, unter dem Radar zu bleiben, sollte ein Weckruf für die Sicherheitsindustrie sein, größere Anstrengungen oder Ressourcen zur Aufdeckung dieser Bedrohungen bereitzustellen", schrieb Sanmillan.

Zur Bekämpfung von HiddenWasp empfehlen die Forscher, die in den Kompromissindikatoren (IOC) des Intezer-Berichts aufgeführten IP-Adressen einfach zu blockieren. Die Forscher haben auch eine YARA-Regel bereitgestellt, die gegen In-Memory-Artefakte eingesetzt werden soll, um diese Implantate zu erkennen.

"Um zu überprüfen, ob Ihr System infiziert ist, können Sie außerdem nach "ld.so"-Dateien suchen - wenn eine der Dateien nicht die Zeichenfolge '/etc/ld.so.preload' enthält, kann Ihr System kompromittiert sein. Das liegt daran, dass das Trojaner-Implantat versucht, Instanzen von ld.so zu patchen, um den LD_PRELOAD-Mechanismus von beliebigen Stellen aus zu erzwingen", sagte Sanmillan.