F-Secure Labs: Malware Backdoor.Gates nutzt für Linux wie auch Windows denselben Basiscode

Die F-Secure Labs haben verschiedene Berichte über eine neue Malware für Linux Systeme mit dem Namen “Backdoor.Gates” erhalten. Erste Analysen haben ergeben, dass die Malware über die folgenden Funktionen verfügt:

  • Sammlung von Informationen auf einem kompromittierten System wie die genaue Version des installierten Betriebssystems, die Festplattengrößen etc..
  • Verbindungsaufbau mit einem C&C (Command-and-Control) Server zum Empfangen und Versenden von weiteren Informationen. Die Serveradresse und der Port sind mittels RSA verschlüsselt.
  • Die Malware kann verschiedene Attacken initiieren:
    • TCP-SYN flood
    • UDP flood
    • DNS flood
    • ICMP flood
    • HTTP flood
    • DNS Amplification 

Die Backdoor verwendet die folgende Datei für ihre Installation:
/etc/init.d/DbSecuritySpt
Interessanterweise wird genau dieselbe Zeichenfolge “DbSecuritySpt” auch als Dienst von einer anderen, auf Windows Systeme abzielenden Malware verwendet. Dies weckte das Interesse der F-Secure Labs. Eine genauere Untersuchung brachte mehr Gemeinsamkeiten der ursprünglich als verschieden eingestuften Malware-Beispiele zu Tage.

Beide Malware-Beispiele verwenden dieselben Namen für die Hauptdatei und die anschließend installierten Zusatzkomponenten. So heißt beispielsweise die Hauptkomponente “gates” in der Linux Version und “Gates.exe” in der Windows Version. Das Attacken Tool wird “bill” in der Linux Version und “Bill.exe” in der Windows Version genannt. Die DNS Amplification Library heißt in der Linux Version “libamplify.so” und in der Windows Version “libamplify.dll” und so weiter und so fort… Dies sind eindeutig zu viele zufällige Gemeinsamkeiten. Es wurde sehr schnell klar, dass es sich hierbei um eine aktuell neu kompilierte Version derselben Malware handeln musste.

Die Malware ist in C++ geschrieben. Der kompilierte Code schaut zwar auf den ersten Blick unterschiedlich aus, aber eine tiefergehende Untersuchung bestätigt, dass es sich zumindest um dieselbe Code Basis handeln muss. Es gibt diverse auf das jeweilige Betriebssysteme abzielende Codefragmente wie das Threat Handling oder die Installation von Diensten (bei Windows wird ein Dienst namens “DbSecuritySpt” und bei Linux ein Startup Script im Verzeichnis “/etc/init.d/DbSecuritySpt” installiert). Es gibt noch weitere Gemeinsamkeiten wie die gezielte Behandlung von Dateien mit “fopen()” und “fread()”. Die Nutzung dieser Standard C-Funktionen ist für einen Windows-Programmierer äußerst unüblich. Eher besteht eine hohe Wahrscheinlichkeit, dass beide Malware Varianten aus demselben Code kompiliert wurden und lediglich mit einigen Plattform-spezifischen “#ifdef’s” versehen wurden.

Screenshot des Windows-Codes:

Screenshot der Linux-Codes:
F-Secure Labs Backdoor.Gates Malware-Analyse Screenshot Linux Code
Bei einer Malware für verschiedene Betriebssysteme wie die aktuelle “Backdoor.Gates” Malware ist es für IT-Sicherheitsforscher immer äußerst interessant, wie die die genauen Installationsroutinen dieser Malware für die verschiedenen Betriebssysteme aussehen. Bis jetzt hat die Detailanalyse noch nicht desbezüglich die gewünschten Ergebnisse erbracht. Basierend auf den ersten Analysen kann aber bis jetzt davon ausgegangen werden, dass die Malware über keine automatisierten Verbreitungsfunktionalitäten oder Exploits verfügt. Die bisherigen Berichte, die die F-Secure Labs über erfolgreiche Infektionen erhalten haben, betrafen alle Linux Systeme mit schwachen SSH-Server Passwörtern.

Weitere Analysen zu “Backdoor.Gates” wurden bei “Kaspersky” und “Dr. Web” veröffentlicht.

Quelle: F-Secure Labs Weblog – Autor: Jarkko

F-Secure – Switch on freedom
F-Secure (www.f-secure.com) ist ein Online-Sicherheits- und Datenschutz-Unternehmen aus Finnland. Mit F-Secure sind Millionen von Menschen rund um den Globus in der Lage, unsichtbar zu surfen, Inhalte zu speichern und zu teilen und sind sicher vor allen Online-Bedrohungen. Wir sind hier, um für die digitale Freiheit zu kämpfen. Schließen Sie sich der Bewegung an und schalten Sie um auf Freiheit. F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.
 

F-Secure Malware Backdoor.Gates Windows Code Screenshot