Krypto-Mining

Malware Muldrop.14 kapert Raspberry Pis für Botnetz

14.06.17 | Autor: Margit Kuther

Raspberry Pi: Die Malware Muldrop.14 macht ausschließlich Raspberry Pis zu Botnetzen
Raspberry Pi: Die Malware Muldrop.14 macht ausschließlich Raspberry Pis zu Botnetzen (Bild: Farnell/MKuther)

Linux.Muldrop.14 eint gezielt ungesicherte Raspberry Pis in einem Botnetz und sperrt dann deren Nutzer aus, um Geld in der Kryptowährung zu generieren.

Linux.Muldrop.14 attackiert ausschließlich Raspberry Pis mit geöffnetem SSH-Port (Secure Shell Home) für externe Verbindungen und werkseitigem Kennwort für den Benutzer ‘pi’.

Von Linux.Muldrop.14 befallene Raspberry Pis sind zum einen daran zu erkennen, dass Prozesse extrem langsam laufen. Denn die Malware installiert eigene Bibliotheken, um weitere Raspberry Pis mit geöffnetem SSH-Port 22 aufzuspüren, diese als Botnetze in Besitz zu nehmen und mit deren geballter Rechenleistung Kryptowährung zu sammeln.

Gleichzeitig sperrt der Trojaner den eigentlichen Nutzer aus, indem es das werksseitige Passwort des infizierten Raspberry Pis ersetzt und somit root-Access erhält.

So agiert Linux.Muldrop.14

Details von Linux.Muldrop.14 haben die Virenanalysten von „Dr. Web“ beschrieben:

Der Linux-Trojaner Linux.Muldrop.14 ist ein Bash-Skript mit einem so genannten „Mining“- oder „Schürf“-Programm zum Sammeln von digitaler Währung. Im Visier hat Linux.Muldrop.14 allen Anschein nach allerdings nicht die gängigen Bitcoins, sondern Monera.

Ergänzendes zum Thema
 
Raspberry Pi auf ELEKTRONIKPRAXIS.de

Hat der Trojaner einen Raspberry Pi gekapert, installiert er neben eigenen Bibliotheken Zmap und Sshpass. Desweiteren ändert er das werksseitige Passwort des Users „pi“ in “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1” (ohne Leerzeichen), so dass sich der eigentliche Nutzer nicht mehr anmelden kann.

Anschließend scannt Linux.Muldrop.14 das Internet in einer Endlosschleife mittels zmap nach Netzwerkknoten mit offenem Port 22. Findet er solche, versucht sich der Trojaner dort mittels sshpass über das Login(Username):Passwort „pi:raspberry“ einzuloggen. Dabei nutzt er nur diese Kombination, attackiert also nur Raspberry Pis. Klappt dies, beginnt Linux.Muldrop.14 mit dem Download und der Installation seiner Bibliotheken, .... .

Um Linux.Muldrop.14 von befallenen Raspberry Pis zu entfernen, muss das System komplett neu aufgespielt werden.

Inhalt des Artikels:

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44738779 / Raspberry Pi)

Raspberry: Thema abonnieren

Erhalten Sie News, Tipps & Wissen rund um den Raspberry PI und andere beliebte SBC-Projekte automatisch per Email.

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.