Der europäische Security-Software-Hersteller Eset hat eine neue Malware-Familie entdeckt, die es auf GNU/Linux-Systeme abgesehen hat. Ähnlich wie andere Malware nutzt Linux/Shishiga zur Verbreitung schwache Telnet- und SSH-Anmeldeinformationen aus. Neu ist allerdings die Verwendung des BitTorrent-Protokolls sowie der Skriptsprache Lua.

 

BitTorrent immer beliebter

Die Malware verwendet Lua wegen ihrer Flexibilität durch Modularität sowie vier verschiedene Protokolle: SSH, Telnet, HTTP und BitTorrent. Letzteres wurde bereits vergangenes Jahr im vom Mirai-Botnet inspirierten Wurm Hajime genutzt. Die Forscher von Eset gehen davon aus, dass BitTorrent sich in Zukunft zunehmender Beliebtheit bei Malware-Entwicklern erfreuen wird.

 

Linux/Shishiga versucht durch Bruteforcing schwache Login-Daten mit Hilfe einer Passwortliste zu knacken. Hierbei sind gewisse Parallelen zu Linux/Moose erkennbar, allerdings greift Linux/Shishiga auch SSH-Anmeldeinformationen mittels Bruteforcing an.

 

Malware im Entwicklungsstadium

Die Malware scheint sich noch in der Entwicklung zu befinden. Darauf lässt das konstante Hinzufügen, Entfernen und Ändern von Komponenten, Code-Kommentaren und Debug-Informationen schließen. Um zu verhindern, dass Linux/Shishiga und ähnliche Malware das eigene Linux-System kompromittiert, sollten Nutzer Standard-Telnet und SSH-Anmeldeinformationen unbedingt vermeiden.

 

Siehe auch:

http://www.eset.de/

https://www.welivesecurity.com/deutsch/2017/04/25/linux-shishiga-malware-lua-skriptsprache