Trickbot jetzt auch für Linux

Mo, 03. August 2020, Ralf Hersel

Eine der gefährlichsten Computer-Schadprogramme ist die Emotet-Familie, welche die Empfänger in Form sehr echt aussehender E-Mails erreichen. Wenn ein Empfänger die Anlage der E-Mail öffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausführung gebracht. Opfer der Schadsoftware sind vor allem Behörden und Unternehmen. Ziel der Angriffe ist es, die gesamte IT des Opfers lahm zu legen und/oder Lösegeldzahlungen zu erpressen.

Trojaner

Teil der Emotet-Familie ist der Banking-Trojaner Trickbot. Die Akteure hinter Trickbot haben kürzlich eine Linux-Portierung ihres neuen DNS-Command-and-Control-Tools namens Anchor_DNS entwickelt. Diese Malware, die oft als Teil einer Zip-Datei geliefert wird, installiert sich selbst als Cron-Job, bestimmt die öffentliche IP für den Host und beginnt dann, sich über DNS-Abfragen bei seinem Command-and-Control-Server zu melden.

Da der DNS-Kanal keinen direkten Kommunikationsweg für die Malware bietet, wird den Angreifern nicht die IP-Adresse des Opfers mitgeteilt. Darum verwendet die Malware öffentliche IP-Nachschlagedienste, um zu ermitteln, wo sich das Ziel befindet. Beim ersten Start wählt die Malware nach dem Zufallsprinzip eine URLs aus, um ihre externe IP-Adresse zu finden.

Die Weiterentwicklung der Anker-Malware-Familie lässt vermuten, dass die Trickbot-Macher planen, weiterhin ihre neuen DNS-basierten Befehls- und Steuerkommandos zu verwenden. Angesichts der allgemein niedrigeren Erkennungsrate von Linux-Malware ist es wichtig, dass Firmen und Organisationen ihren Netzwerkverkehr und die DNS-Auflösungen genau überwachen.

Quelle: https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30