Nachfolger von Darkleech

Erneut manipulierte Apache-Server unter Linux

Die Malware Darkleech, über die wir vor drei Wochen berichtet hatten, hat einen Nachfolger bekommen. Linux/Cdorked.A ist genauso schwer zu entdecken und der Infektionsweg ist im Detail ebenso unklar wie beim Vorgänger. Die Angriffsmethode von Linux/Cdorked.A macht ihn jedoch noch gefährlicher.

Bei Darkleech manipulierten die Angreifer einzelne Module des Apache-Server oder editierten die Konfiguration, Linux/Cdorked.A bedient sich dagegen gleich einer manipulierten Binärdatei und ersetzt httpd mit einer infizierten Version. Dafür suchen sich die Angreifer bevorzugt Apache-Server, die mit der Administrationssoftware CPanel bedient werden. Die damit geöffnete Backdoor ist sehr ausgeklügelt und schwierig zu entfernen.

Da CPanel die Paketmanager der Linux-Distributionen umgeht, findet bei der Installation kein Abgleich der Prüfsumme statt und es gibt auch keinen Befehl, mit dem der Paketmanager nachträglich feststellen könnte, das sich auf dem System ein manipuliertes Binärpaket befindet. Auch ein Abgleich über das Datum des Pakets bleibt erfolglos, da das manipulierte Paket das korrekte Datum des Originals trägt. Ein Austausch der Binärpakete gelingt auch nicht ohne weiteres, da das gefälschte Paket das Attribut immutable trägt und erst mittels des Befehls chattr entfernbar gemacht werden muss. Die Steuerung des Servers über spezielle HTTP-Requests taucht auch nicht in den Server-Logs auf.

Die darüber geöffnete Backdoor hinterlässt keinerlei Spuren im System. Die Konfiguration geschieht über obige HTTP-Requests, alle Command and Control Information, die über die Backdoor hereinkommt, wird in einem 6 Megabyte fassenden Shared-Memory-Bereich gehalten. Das einzig wirklich auffällige Indiz, dass etwas nicht stimmt, ist die Tatsache, das einmal täglich, wenn die Backdoor vom Command&Control-Server kontaktiert wird, die HTTP-Verbindung hängt. Außerdem haben die Angreifer einen Mechanismus eingebaut, über den zum Beispiel ein Blackhole Exploit geladen werden kann.

Experten sind sich einig, dass hinter dieser Art der Manipulation von Apache-Servern eine Menge an Geld und krimineller Energie steckt. Sie sind darüber hinaus überzeugt, dass das wahre Ziel dieses Angriffs noch nicht sichtbar ist. Was bisher zu sehen war, ist das übliche Schema von Malware-Verteilung und Pharma-Spam. Dazu ist ein solches Maß an Aufwand nicht nötig, das leisten die üblichen Botnetze genauso gut. Gerade weil hier nach Monaten der Angriffe und vieler tausend angegriffener Server und manipulierter Webseiten noch kein Ziel zu erkennen ist, ist man sich einig, dass die potenzielle Gefahr, die von dieser Angriffsmethode ausgeht, nicht zu unterschätzen ist. Eine detaillierte Beschreibung der Backdoor-Mechanismen findet sich im Blog von ESET.