Open Source im professionellen Einsatz

Moose-Wurm befällt Linux-basierte Router

Linux/Moose ist ein Wurm, der hauptsächlich Linux-basierte Router befällt. Sie werden dann von dem Wurm verwendet, um nicht verschlüsselten Netzwerkverkehr aufzuzeichnen oder aber um ein grösseres Botnet über mehrere befallene Systeme aufzubauen. Der Wurm ist so ausgelegt, dass er sich bis hinter Firewalls durchhangeln kann und so auch sehr sensitive Kommunikation abfängt. Moose kann via Proxy (SOCKS und HTTP) auf Port 10073 kontrolliert werden, wobei er allerdings nur auf bestimmte IP-Adressen anspricht. Ein weiteres Feature des Wurms besteht darin, DNS Verkehr umzuleiten, wodurch er auch größer angelegte Man-in-the-Middle-Attacken ausführen kann. Moose wurde von ESET entdeckt und im Mai erstmals detailiert beschrieben. Eine Hauptaufgabe von Moose besteht darin HTTP-Cookies sozialer Netzwerk-Seiten zu stehlen und damit unerlaubt Follow-, View- und Like-Aktionen durchzuführen.

Der Wurm verbreitet sich als gewöhnliche ELF Binärdatei bei der alle Debug-Symbole entfern wurden. Um effizient zu arbeiten bedient sich der Wurm bis zu maximal 36 Threads, wobei die meisten dieser Threads damit beschäftigt sind, andere zu infizierende Geräte zu finden. Glücklicherweise ist der Wurm auf einem einmal befallenen Gerät nicht persistent, das heißt ein einfacher Reboot des Routers entfernt den Schädling. Um Zugang zu Routern zu erlangen bedient sich der Wurm einer einfachen Brute-Force-Attacke, um Standard-Passwörter zu erraten. Er nutzt also keine etwaigen Sicherheitslücken aus.

Bei den zu stehlenden HTTP-Cookies konzertiert sich der Wurm auf folgende Dienste: Twitter: twll, twid*, Facebook: c_user*, Instagram: ds_user_id*, Google: SAPISID, APISID*, Google Play / Android: LAY_ACTIVE_ACCOUNT*, Youtube: LOGIN_INFO.

Laut ESET sind die häufigsten Angriffsziehe Twitter, Instagram und Soundcloud.Um den Verbreitungsgrad von Moose abzuschätzen haben sich die ESET Forscher den von Internet Storm Center veröffentlichten Netzwerkverkehr auf Port 10073 angesehen.Dieser Port wird von keinem offiziellen Dienst verwendet und dient somit als guter Indikator für die Verbreitung des Wurms. Moose scheint demnach bereits seit July 2014 aktiv zu sein, wobei die Aktivität seit Anfang 2015 leicht zurückging. Der Moose Programmcode verwendet die uClibc-Bibliothek, eine kompakte C-Bibliothek für embedded Systems. Laut ESET sind Router folgender Hersteller betroffen: Actiontec, Hik Vision, Netgear, Synology,TP-Link, ZyXEL, Zhone. Ein sehr ausführlicher Bericht über Moose findet sich hier.

comments powered by Disqus

Ausgabe 07/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.