Zahlreiche deutsche Server mit Ebury-Rootkit infiziert - BSI

Werbung
Zahlreiche deutsche Server mit Ebury-Rootkit infiziert
BSI gibt Informationen für Server-Betreiber und Provider
Bonn, 13. Februar 2014. Seit Februar 2013 hat das im Bundesamt für Sicherheit in der
Informationstechnik (BSI) angesiedelte CERT-Bund (Computer Emergency Response Team
für Bundesbehörden) verschiedene Varianten des Schadprogramms Ebury analysiert. Dabei
handelt es sich um ein SSH-Rootkit mit Backdoor-Funktionalität für Linux und Unix-ähnliche
Betriebssysteme. Auf infizierten Systemen, in den meisten Fällen Server, stiehlt die
Schadsoftware unter anderem Zugangsdaten und übermittelt diese an die Angreifer.
Durch die Zusammenarbeit von CERT-Bund mit weiteren Sicherheitsteams in einer internationalen Working Group konnten bereits viele tausend Systeme weltweit identifiziert werden,
die mit Ebury infiziert sind - darunter auch viele hundert in Deutschland gehostete Server.
Hosting-Provider in Deutschland sowie nationale CERTs in über 60 Ländern wurden jeweils
zeitnah über erkannte Infektionen in ihrem Zuständigkeitsbereich informiert und gebeten, die
Betreiber der betroffenen Systeme entsprechend zu benachrichtigen.
Die Anzahl der infizierten Systeme ist in den letzten Monaten jedoch nur sehr langsam
zurückgegangen. Gespräche mit Betreibern betroffener Server haben gezeigt, dass einige
Hosting-Provider ihre Kunden offenbar erst mit Verzögerungen von mehreren Wochen über die
ihnen gemeldeten Infektionen informiert haben. Die Täter konnten die kompromittierten Server
in dieser Zeit weiterhin für kriminelle Aktivitäten nutzen. Das Ausspähen abgehender
SSH-Verbindungen ermöglichte den Angreifern außerdem, Zugangsdaten oder SSH-Schlüssel
für weitere Systeme zu erlangen und diese ebenfalls unter ihre Kontrolle zu bringen.
Seite 1 von 2
Was ist bei einer Infektion zu tun?
Betreiber von Servern, die von ihrem Provider über eine Infektion informiert worden sind,
sollten ihr Betriebssystem komplett neu installieren, empfiehlt CERT-Bund. Alle Zugangsdaten, die mit SSH-Verbindungen von oder zu einem infizierten System verwendet wurden,
sowie auch alle auf dem System gespeicherten privaten SSH-Schlüssel müssen als
kompromittiert angesehen und geändert werden.
CERT-Bund stellt mit einer FAQ [https://www.cert-bund.de/ebury-faq] Informationen bereit,
wie Betreiber betroffener Systeme ihnen gemeldete Infektionen verifizieren können, und gibt
Empfehlungen für Gegenmaßnahmen.
Provider, die von CERT-Bund über von ihnen gehostete betroffene IP-Adressen informiert
wurden, sollten diese Information möglichst rasch an ihre Kunden weitergeben und so dazu
beizutragen, dass die Infektionen schnell beseitigt werden können.
Was ist Ebury?
Das Schadprogramm wird von Angreifern auf kompromittierten Systemen entweder durch den
Austausch von SSH-Binärdateien oder alternativ einer von diesen Programmen gemeinsam
genutzten Bibliothek installiert. Auf infizierten Systemen stiehlt Ebury Zugangsdaten (Benutzernamen und Passwörter) von ein- und ausgehenden SSH-Verbindungen und sendet diese
über das Internet an Dropzone-Server der Angreifer. Zusätzlich werden auch auf dem
kompromittierten System für ausgehende SSH-Verbindungen verwendete private
SSH-Schlüssel gestohlen. Darüber hinaus stellt Ebury eine Backdoor bereit, über welche die
Angreifer jederzeit vollen Root-Zugriff auf infizierte Systeme erhalten können, auch wenn die
Passwörter für Benutzerkonten regelmäßig geändert werden. Die SSH-Verbindungen über die
Backdoor werden nicht in Logdateien protokolliert.
Die kompromittierten und mit Ebury infizierten Systeme werden von den Tätern für verschiedene kriminelle Aktivitäten missbraucht, unter anderem für die Umleitung von Besuchern
kompromittierter Webseiten auf Drive-by-Exploits oder den massenhaften Versand von
Spam-Mails. Da die Angreifer über Root-Rechte auf den kompromittierten Systemen verfügen,
sind sie in der Lage, beliebige Dateien auszulesen, zu löschen oder zu modifizieren. Ebenso
können sie sicherheitsrelevante Konfigurationseinstellungen verändern oder weitere
Schadprogramme installieren. Durch den Zugriff auf alle auf den kompromittierten Systemen
verarbeiteten Daten können die Täter zum Beispiel im Falle von Servern für Online-Shops auch
sensible Kundendaten ausspähen.
Seite 2 von 2
Herunterladen