Akamai warnt vor DDoS-Malware auf Linux-Servern

München, 9. September 2014 – Das Prolexic Security Engineering & Response Team von Akamai hat ein Botnetz aus Linux-Servern entdeckt, von dem aus gezielt DDoS-Attacken unter anderem gegen die Unterhaltungsindustrie ausgeführt werden. Die infizierten Server befinden sich hauptsächlich in Asien und vereinzelt auch in den USA.

Akamai Technologies (NASDAQ: AKAM), ein führender Anbieter von Cloud-Services, mit denen sich Online-Inhalte und Business-Applikationen sicher bereitstellen und optimieren lassen, hat unterstützt durch sein Prolexic Security Engineering & Response Team Details zu kürzlich erfolgten Distributed-Denial-of-Services (DDoS)-Attacken veröffentlicht. In einem Sicherheitshinweis warnt das Unternehmen vor hochgefährlichen Bedrohungen, die von IptabLes- und IptabLex-Malware auf Linux-Systemen ausgeht. Angreifer nutzen die infizierten Linux-Systeme für DDoS-Attacken gegen Unternehmen aus der Unterhaltungsindustrie, aber auch aus anderen Branchen. Der ausführliche Sicherheitshinweis steht zum Download bereit unter: www.prolexic.com/iptablex.

Die massenhafte Infektion scheint den Erkenntnissen von Akamai zufolge durch Webserver unter Linux verursacht zu sein, auf denen bekannte Sicherheitslücken in Apache-Diensten wie Struts, Tomcat and Elasticsearch ausgenutzt werden. Hacker nutzen Schwachstellen auf nicht gepatchten Systemen, platzieren Schadcode und erhalten so die Kontrolle über die Server, die sie dann in ein remote gesteuertes DDoS-Botnetz einbinden.

Hinweise auf eine vorhandene Infektion sind die Einträge “.IptabLes” oder “.IptabLex” im /boot directory. Das Erkennungsmerkmal ist der vorangesetzte Punkt im Dateinamen. Die Malware enthält eine Funktion, mit der sie sich eigenständig aktualisiert. Dabei stellt ein infiziertes System den Kontakt zu einem Host her und lädt ein File.

Die Command and Control Center (C2 und CC) befinden sich aktuell in Asien, ebenso wie die infizierten Systeme. In der letzten Zeit hat Akamai aber auch schon entsprechende Server in den USA und in anderen Regionen entdeckt. Anfangs befanden sich die meisten infizierten Systeme in Russland, in der Zwischenzeit hat sich Asien zu einem Schwerpunkt entwickelt. Das Prolexic Security Engineering & Response Team rechnet mit einer weiteren Ausbreitung des DDoS-Botnetzes.

Zur Erkennung und Abwehr der IptabLes- und IptabLex-Malware sollten die Linux-Systeme mit den aktuellen Sicherheitsupdates und einer Antiviren-Software ausgestattet werden. In dem ausführlichen Sicherheitshinweis erläutert Akamai, wie IT-Administratoren infizierte Systeme mit Hilfe von Bash-Befehlen reinigen können. Darüber hinaus gibt es für die Open-Source-Malware-Erkennung Yara bereits einen entsprechenden Eintrag für IpTables. Ausführliche Details zu Gegenmaßnahmen finden sich in dem Blog “Akamai Offers Further Guidance to Blunt Linux DDoS Threat” (https://blogs.akamai.com/2014/09/akamai-gives-further-guidance-to-blunt-linux-ddos-threat.html#more).

Die IptabLes- und IptabLex-Malware wurde bereits in umfangreichen DDoS-Kampagnen eingesetzt. Akamai bietet Lösungen, die Unternehmen vor solchen Attacken wirksam schützen.

“Wir haben es mit einer der gefährlichsten DDoS-Attacken im Jahr 2014 zu tun, die IptabLes- und IptabLex-Malware auf Linux-Systemen einsetzen”, sagt Michael Heuer, Regional Vice President & Country Manager Central Europe bei Akamai in Garching bei München. “Dies ist eine ernstzunehmende Entwicklung, denn das Betriebssystem Linux kam bislang typischerweise nicht für DDoS-Botnetze zum Einsatz. Angreifer nutzen bekannte Schwachstellen nicht-gepatchter Linux-Systeme aus und starten von hier aus DDoS-Attacken. Linux-Administratoren sollten daher ihre Systeme prüfen und dringend Maßnahmen zum Schutz ergreifen.”