Open Source im professionellen Einsatz

Linux-Rootkit mit Pokémon-Bezug

08.09.2016

Trend Micro hat eine Rootkit-Familie analysiert, die unter dem Namen Umbreon, einer Pokémon-Figur, firmiert und Linux-Rechner befällt.

166

Die Entwicklung der Umbreon-Familie habe wohl Anfang des Jahres 2015 begonnen, vermuten die Trend-Micro-Experten. Der beteiligte Entwicker tummle sich aber bereits seit 2013 im Cybercrime-Umfeld. Dort sei auch in Foren und IRC-Channels gepostet worden, dass Umbreon äußerst schwer zu entdecken sei. Umbreon versteckt sich im Userland

Allerdings erfordert Umbreon, bevor es untertaucht, eine manuelle Installation, was die Gefahr einer Infektion eindämmt. Trend Micro ist es gelungen, den Schädling auf verschiedenen Plattformen zum Laufen zu bringen (x86, x86-64 und ARM/Raspberry Pi). Bei der Installation legt Umbreon einen validen Linux-User an, der über eine Backdor verfügt. Die lasse sich nach Erkenntnis von Trend Micro über alle gängigen Authentifikationsmethoden öffnen, darunter SSH. Der SSH-Login-Screen zeigt dann ein weiteres Motiv aus der Pokémon-Reihe, ein Tierchen mit großen Lauschern namens Espeon. Hier geht es zur ausführliche Umbreon-Analyse von Trend Micro.

Die kriminellen Entwickler der Rootlkitfammilie sind wohl Pokémon-Fans. Hier der Backdoor-Login-Screen über SSH, der das Pokémon Espeo zeigt. Quelle: Trend Micro

Ähnliche Artikel

comments powered by Disqus

Ausgabe 07/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.