Techniken gegen virtuelle Maschinen
Amnesia-Malware macht aus DVR-Geräten Bot-Netze
Sicherheitsforscher gehen davon aus, dass dies eine der ersten Malware-Varianten ist, die fortgeschrittene Techniken gegen virtuelle Maschinen richtet, um die Malware-Analyse in Sandboxing-Umgebungen auszuhebeln
Nach Angaben von IT-Sicherheitsunternehmen ist eine neue Variante des IoT/Linux Botnets Tsunami aufgetaucht. "Amnesia" richtet sich gegen nicht gepatchte Schwachstellen bei der Remote-Code-Ausführung in DVR-Geräten von TVT Digital. Geräte, die von mehr als 70 verschiedenen Hersteller weltweit unter deren Marke vertrieben werden. Betroffen sind rund 227.000 Geräte weltweit vornehmlich in Taiwan, den USA, Israel, der Türkei und Indien.
Sicherheitsforscher gehen davon aus, dass dies eine der ersten Malware-Varianten ist, die fortgeschrittene Techniken gegen virtuelle Maschinen richtet, um die Malware-Analyse in Sandboxing-Umgebungen auszuhebeln. Wenn die Malware eine virtuelle Maschine findet, löscht sie das virtualisierte Linux-System indem sie alle Dateien im System vernichtet.
Amnesia nutzt eine Schwachstelle in der Remote-Code-Ausführung, um verwundbare Systeme zu finden, zu lokalisieren und anzugreifen. Ist die Attacke erfolgreich gewesen, hat Amnesia anschließend volle Kontrolle über das betreffende System. Dass Amnesia-Botnetz lässt sich dann beispielsweise einsetzen um gigantische DDoS-Angriffe zu lancieren, ähnlich der Mirai Botnetz-Attacke vom Herbst vergangenen Jahres.
Dazu Jim Walter, Senior SPEAR Researcher bei Cylance und beratendes Mitglied der "No more Ransom"-Initiative, die die niederländische Polizei auf den Weg gebracht hat.
"In diesem Fall variiert zwar der Eintrittsvektor gegenüber dem bei anderen Angriffen verwendeten (HTTP versus Telnet). Das der Malware zugrunde liegende Schema ist allerdings ein und dasselbe. Die meisten Nutzer, uns eingeschlossen, tendieren dazu, den Standardkonfigurationen verbundener Geräte mehr als nötig zu vertrauen. Wir sollten nicht davon ausgehen, dass neue Geräte mit Internetverbindung automatisch sicher sind. Und das schon gar nicht aufgrund der Tatsache, dass sie schlicht neu sind. Die Sorgfalt und IT-Sicherheitshygiene, die für uns bei traditionellen Geräten (PCs, Laptos, Smart Phones et.) selbstverständlich geworden ist, sollten wir auf alle Geräte übertragen. Und nicht davon ausgehen, dass sie automatisch gewährleistet wird. Egal ob es sich um PCs, Fernsehgeräte, Spielesysteme, eine Appliance oder ein DVR-Gerät handelt: die Ursachen für ein erhöhtes Risiko und eine breite Angriffsfläche sind in ganz vielen Fällen dieselben und so sollten wir sie auch behandeln."
(Cylance: ra)
eingetragen: 18.04.17
Home & Newsletterlauf: 28.04.17
Cylance: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.