Ebury-Rootkit: Zahlreiche deutsche Server infiziert

BSI gibt Informationen für Betreiber und Provider

[datensicherheit.de, 13.02.2014] Seit Februar 2013 hat das im Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelte CERT-Bund (Computer Emergency Response Team für Bundesbehörden) verschiedene Varianten des Schadprogramms Ebury analysiert. Dabei handelt es sich um ein SSH-Rootkit mit Backdoor-Funktionalität für Linux und Unix-ähnliche Betriebssysteme. Auf infizierten Systemen, in den meisten Fällen Server, stiehlt die Schadsoftware unter anderem Zugangsdaten und übermittelt diese an die Angreifer.

Durch die Zusammenarbeit von CERT-Bund mit weiteren Sicherheitsteams in einer internationalen Working Group konnten bereits viele tausend Systeme weltweit identifiziert werden, die mit dem Ebury-Rootkit infiziert sind – darunter auch viele hundert in Deutschland gehostete Server. Hosting-Provider in Deutschland sowie nationale CERTs in über 60 Ländern wurden jeweils zeitnah über erkannte Infektionen in ihrem Zuständigkeitsbereich informiert und gebeten, die Betreiber der betroffenen Systeme entsprechend zu benachrichtigen.

Die Anzahl der infizierten Systeme ist in den letzten Monaten jedoch nur sehr langsam zurückgegangen. Gespräche mit Betreibern betroffener Server haben gezeigt, dass einige Hosting-Provider ihre Kunden offenbar erst mit Verzögerungen von mehreren Wochen über die ihnen gemeldeten Infektionen informiert haben. Die Täter konnten die kompromittierten Server in dieser Zeit weiterhin für kriminelle Aktivitäten nutzen. Das Ausspähen abgehender SSH-Verbindungen ermöglichte den Angreifern außerdem, Zugangsdaten oder SSH-Schlüssel für weitere Systeme zu erlangen und diese ebenfalls unter ihre Kontrolle zu bringen.

Handlungsempfehlungen bei Infektion

Betreiber von Servern, die von ihrem Provider über eine Infektion informiert worden sind, sollten ihr Betriebssystem komplett neu installieren, empfiehlt CERT-Bund. Alle Zugangsdaten, die mit SSH-Verbindungen von oder zu einem infizierten System verwendet wurden, sowie auch alle auf dem System gespeicherten privaten SSH-Schlüssel müssen als kompromittiert angesehen und geändert werden.

CERT-Bund stellt mit einer FAQ Informationen bereit, wie Betreiber betroffener Systeme ihnen gemeldete Infektionen verifizieren können, und gibt Empfehlungen für Gegenmaßnahmen.

Provider, die von CERT-Bund über von ihnen gehostete betroffene IP-Adressen informiert wurden, sollten diese Information möglichst rasch an ihre Kunden weitergeben und so dazu beizutragen, dass die Infektionen schnell beseitigt werden können.

Informationen zum Schadprogramm

Das Schadprogramm wird von Angreifern auf kompromittierten Systemen entweder durch den Austausch von SSH-Binärdateien oder alternativ einer von diesen Programmen gemeinsam genutzten Bibliothek installiert.

Auf infizierten Systemen stiehlt Ebury Zugangsdaten (Benutzernamen und Passwörter) von ein- und ausgehenden SSH-Verbindungen und sendet diese über das Internet an Dropzone-Server der Angreifer. Zusätzlich werden auch auf dem kompromittierten System für ausgehende SSH-Verbindungen verwendete private SSH-Schlüssel gestohlen. Darüber hinaus stellt Ebury eine Backdoor bereit, über welche die Angreifer jederzeit vollen Root-Zugriff auf infizierte Systeme erhalten können, auch wenn die Passwörter für Benutzerkonten regelmäßig geändert werden. Die SSH-Verbindungen über die Backdoor werden nicht in Logdateien protokolliert.

Die kompromittierten und mit Ebury infizierten Systeme werden von den Tätern für verschiedene kriminelle Aktivitäten missbraucht, unter anderem für die Umleitung von Besuchern kompromittierter Webseiten auf Drive-by-Exploits oder den massenhaften Versand von Spam-Mails. Da die Angreifer über Root-Rechte auf den kompromittierten Systemen verfügen, sind sie in der Lage, beliebige Dateien auszulesen, zu löschen oder zu modifizieren. Ebenso können sie sicherheitsrelevante Konfigurationseinstellungen verändern oder weitere Schadprogramme installieren. Durch den Zugriff auf alle auf den kompromittierten Systemen verarbeiteten Daten können die Täter zum Beispiel im Falle von Servern für Online-Shops auch sensible Kundendaten ausspähen.

Weitere Informationen zum Thema:

CERT Bund, 11.02.2014
Ebury SSH Rootkit – Frequently Asked Questions