Umbreon: Raffiniertes neues Rootkit bedroht Millionen Geräte
Ob nun die Malware-Entwickler oder die Sicherheits-Forscher ein wenig im Pokémon-Rausch sind, ist ein wenig unklar. Fest steht allerdings, dass auf dem Schwarzmarkt eine neue Rootkit-Familie aufgetaucht ist, mit der potenziell Millionen vernetzte Geräte übernommen werden können und die ziemlich raffiniert vorgeht. Benannt wurde die Software nach Umbreon, einem Pokémon, dass verborgen in der Dunkelheit auf seine Gegner wartet. Die Entwicklung reicht offenbar bis ins vergangene Jahr zurück. Nun wurde das Tool, mit dem Linux-basierte Systeme angegriffen werden können, aber veröffentlicht. Es funktioniert sowohl auf x86- als auch auf ARM-Plattformen. Die wenigen PCs, die auf Linux laufen, sind hier weniger das Problem. Das Rootkit kann vielmehr auf zahlreichen Routern und Embedded-Systemen zum Einsatz kommen und dort unbemerkt seine Arbeit verrichten.
Entdeckt und analysiert wurde Umbreon in den Labors von Trend Micro. Die Sicherheitsforscher kamen zu dem Ergebnis, dass das Rootkit ausschließlich mit den Rechten des Nutzer-Accounts arbeitet, unter dem es installiert wurde. Es versucht nicht, weitergehende Priviligien zu erhalten und sich in den Kernel einzuschalten. Die Malware vermag es aber, sich gut auf dem System zu verbergen.
Kieler Linux Tage 2014 mit ReactOS-Präsentation
Die eingeschränkten Rechte bedeuten aber nicht, dass Umbreon weitgehend ungefährlich wäre. Denn der Software gelingt es auf recht raffiniertem Weg, sich in die Prozesse auf dem System einzuklinken: Es kapert im Grunde die Interaktion zwischen Anwendungen und der libc-Bibliothek. Libc stellt zahlreichen Programmen unter Linux die Funktionen für Aufrufe von Systemfunktionen zur Verfügung, wie beispielsweise das Lesen und Schreiben von Dateien, den Umgang mit anderen Prozessen und die Kommunikation über Netzwerkschnittstellen.
Espeon sorgt für Remote-Shell
Umbreon klinkt sich in diese Aufrufe ein und sorgt dafür, dass die Interaktion zwischen Anwendungen und dem System nach den Bedingungen der Malware ablaufen. Das macht es entsprechend schwierig, das Rootkit mit den Standard-Tools von Linux im Dateisystem zu finden oder gar zu löschen - denn die entsprechenden Programme arbeiten natürlich mit libc.
Die Malware bringt eine Backdoor-Komponente namens Espeon mit - die ebenfalls nach einem Pokémon benannt ist. Dieses lauscht auf einer definierten Netzwerkschnittstelle. Wenn auf dieser ein speziell gestaltetes IP-Paket eintrifft, wird eine Shell für den Fernzugriff eingerichtet. Darüber kann der Angreifer dann beliebige weitere Aktionen starten.
Angesichts des Malware-Designs und der Ausrichtung des Rootkits dürfte Umbreon mit hoher Wahrscheinlichkeit einige Verbreitung erreichen. Auf den Millionen Home-Routern, die auf Linux basieren, dürfte der Schädling wohl nur in seltenen Fällen überhaupt entdeckt werden.
Quelle
Linear-Darstellung
