Bereits seit einigen Wochen wird die SambaCry getaufte Sicherheitslücke in der Unix-Umsetzung des Filesharing-Protokolls SMB ausgenutzt. Das geht aus Untersuchungen des AV-Herstellers Kaspersky hervor.

Die SambaCry-Lücke wird von Angreifern genutzt (auch bekannt als EternalRed-Hintertür), um Schadcode auf verwundbaren Linux-Servern auszuführen und verdeckt die Kryptowährung Monero (XMR) zu schürfen.

Die Hacker versuchen beim Angriff über die SambaCry/EternalRed-Lücke eine Datei mit zufälligem Dateinamen auf den Server zu schreiben. Wenn dies gelingt, wissen die Angreifer, dass dieses System anfällig ist. Anschließend wird die Datei wieder gelöscht und der eigentliche Trojaner auf das Laufwerk geschrieben. Danach müssen sie den Pfad der geschriebenen Datei erraten – hier werden per Bruteforce verschiedene Pfade durchprobiert.

Nachdem der Pfad erraten ist, kann die bösartige Datei ausgeführt werden. Zum Verwischen der Spuren wird diese Datei ebenfalls gelöscht, damit der Trojaner nur noch im Speicher des Servers ist.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE