Cybersecurity-Forscher haben eine neue und völlig unentdeckte Linux-Bedrohung mit dem Namen OrBit entdeckt, die auf einen wachsenden Trend von Malware-Angriffen auf das beliebte Betriebssystem hindeutet.
Die Malware hat ihren Namen von einem der Dateinamen, die verwendet werden, um die Ausgabe ausgeführter Befehle vorübergehend zu speichern („/tmp/.orbit“), so das Cybersecurity-Unternehmen Intezer.
„Er kann entweder mit persistenten Fähigkeiten oder als flüchtiges Implantat installiert werden“, so die Sicherheitsforscherin Nicole Fishbein. „Die Malware setzt fortschrittliche Umgehungstechniken ein und verschafft sich Persistenz auf dem Rechner, indem sie sich in Schlüsselfunktionen einhakt, den Bedrohungsakteuren Fernzugriffsmöglichkeiten über SSH verschafft, Anmeldeinformationen sammelt und TTY-Befehle protokolliert“.
OrBit ist nach BPFDoor, Symbiote und Syslogk die vierte Linux-Malware, die innerhalb von nur drei Monaten aufgetaucht ist.
Die Malware funktioniert ähnlich wie Symbiote, da sie alle laufenden Prozesse auf den kompromittierten Rechnern infizieren soll. Aber im Gegensatz zu Symbiote, das die Umgebungsvariable LD_PRELOAD nutzt, um das gemeinsame Objekt zu laden, verwendet OrBit zwei verschiedene Methoden.
„Die erste Methode ist das Hinzufügen des gemeinsamen Objekts zur Konfigurationsdatei, die vom Loader verwendet wird“, erklärt Fishbein. „Der zweite Weg besteht darin, die Binärdatei des Loaders selbst so zu patchen, dass sie das bösartige Shared Object lädt.
Die Angriffskette beginnt mit einer ELF-Dropper-Datei, die dafür verantwortlich ist, die Nutzlast („libdl.so“) zu extrahieren und sie zu den Shared Libraries hinzuzufügen, die vom Dynamic Linker geladen werden.
Die bösartige Shared Library ist so konstruiert, dass sie Funktionen von drei Bibliotheken – libc, libcap und Pluggable Authentication Module (PAM) – abgreift. Dies führt dazu, dass bestehende und neue Prozesse die geänderten Funktionen nutzen, um Anmeldedaten abzugreifen, Netzwerkaktivitäten zu verbergen und den Fernzugriff auf den Host über SSH einzurichten – und das alles unbemerkt.
Darüber hinaus nutzt OrBit eine ganze Reihe von Methoden, die es ihm ermöglichen, unbemerkt zu arbeiten und sich so hartnäckig zu halten, dass er nur schwer von den infizierten Rechnern entfernt werden kann.
Sobald die Backdoor aktiviert ist, besteht ihr Ziel darin, Informationen zu stehlen, indem sie sich in die Lese- und Schreibfunktionen einklinkt, um Daten abzufangen, die von den ausgeführten Prozessen auf dem Computer geschrieben werden, einschließlich bash- und sh-Befehlen, deren Ergebnisse in bestimmten Dateien gespeichert werden.
„Was diese Malware besonders interessant macht, ist das fast hermetische Hooking von Bibliotheken auf dem Opferrechner, das es der Malware ermöglicht, sich hartnäckig zu halten und der Entdeckung zu entgehen, während sie Informationen stiehlt und eine SSH-Backdoor einrichtet“, so Fishbein.
„Bedrohungen, die auf Linux abzielen, entwickeln sich ständig weiter und bleiben dabei erfolgreich unter dem Radar der Sicherheitstools, und OrBit ist ein weiteres Beispiel dafür, wie ausweichend und hartnäckig neue Malware sein kann.“