Malware, Viren und andere Schadsoftware ist immer ein aktuelles Thema in der digitalen Welt und betrifft nun auch den Raspberry Pi. Die Malware hört auf den Namen Linux.MulDrop.14 und nutzt die Pis, um diese in einem Botnetz zusammenzuschließen und Cryptowährung zu minen.
Raspberry Pi: Malware Linux.MulDrop.14
Die Malware bzw. der Trojaner namens Linux.MulDrop.14 macht sich einen geöffneten SSH-Port und die Standard-Benutzerkennung des Raspberry Pis zu Nutzen, um in den Einplatinencomputer einzudringen und mittels diesem Cryptowährung zu farmen. Entdeckt und beschrieben wurde der Trojaner von Dr. Web.
Betroffen sind hierbei alle Pis mit dem Standardsystem Raspbian bei denen SSH auf dem Standardport aktiviert ist, sowie die Benutzerkennung des Nutzers “pi” auf dem Default-Passwort steht. Mit einem der letzten großen Sicherheitsupdates von Raspbian, ist SSH per Default nicht mehr aktiv. Alle Systeme die mit einer älteren Version laufen, sowie aktuelle Pis mit Raspbian bei denen SSH aktiv ist und die zugleich das Passwort vom Nutzer pi nicht geändert haben, können demnach betroffen sein.
Nach der Infektion
Nachdem der Trojaner einen Raspberry Pi befallen hat, wird das Passwort in der Datei “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4
Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1″ (Quelle: golem.de) geändert. Die Schadsoftware installiert zudem diverse Softwarepakete und Bibliotheken, darunter Sshpass und ZMap. Ein erstes Anzeichen, dass ein Pi infiziert wurde, ist eine 100% Systemauslastung und dadurch die Verlangsamung bzw. die Nichterreichbarkeit von laufenden Prozessen.
Wie bei Malware dieser Art üblich, wird der infizierte Pi Teil eines Botnetzes (Blockchaain). Zugleich sucht der Bot nach weiteren angreifbaren Systemen im Netzwerk. Der Zugriff auf das befallene System ist durch die Passwortänderung des Trojaners theoretisch nicht mehr möglich. Inwieweit die Methode zum Zurücksetzen des Passworts funktioniert, kann ich an dieser Stelle nicht sagen. Wenn es funktioniert, wäre es eine Variante, um an sensible und unabdingbare Daten wieder heranzukommen. Anderfalls wird eine Neuinstallation des Systems oder das Einspielen eines Backups der sinnvollste Weg sein.
Absichern
Um sicherzustellen, dass man geschützt ist, sollte man Raspbian unbedingt auf die aktuellste Version upgraden (optional, aber sinnvoll) – aber viel wichtiger, das Standardpasswort des Nutzers pi ändern. In vielen Anwendungen stellt man mit dem Raspberry Pi einen oder mehrere Dienste bereit (NAS, etc.), sowohl im Heimnetzwerk, aber auch via Internet. Ein geöffneter SSH-Port ist hierbei keine Seltenheit, sollte aber zwingend hinsichtlich der Sicherheit prinzipiell nicht mit dem Standardpasswort konfiguriert sein. Sollte man SSH gar nicht nutzen, kann es deaktiviert werden bzw. deaktiviert bleiben.
Hinterlasse eine Antwort