Linodas aka DinodasRAT für Linux

Immer mehr cyberkriminelle Gruppen entdecken Linux für sich und adaptieren ihre bisher für Windows-Systeme ausgelegte Malware. In einer Studie haben Sicherheitsforscher Ransomware-Angriffe auf beide Betriebssysteme verglichen. Seit 2021 steigt die Zahl der Ransomeware-Attacken auf Linux-Systeme stark an. Analysen von Sicherheitsforschern identifizieren einen Auslöser für die Entwicklung in der Veröffentlichung des Quellcodes der Babuk-Malware. Für Schlagzeilen sorgte im April 2024 eine Zero-Day-Lücke namens Xz-Backdoor in der Xz-Bibliothek. Die Bibliothek kommt unter anderem in der Datenbank PostgreSQL zum Einsatz – wer die Backdoor ausnutzt, hätte damit massiven Schaden hätte anrichten können. Linux rückt also mehr und mehr in den Fokus der Sicherheitsabteilungen, denn sie müssen auf die Bedrohungslage reagieren und ihre Open Source-Strategie hinsichtlich der erforderlichen Cybersecurity-Maßnahmen überdenken. Seit Beginn des Jahres haben Sicherheitsforscher von Check Point Research (CPR) die Aktivitäten eines chinesischen Cyberspionage-Bedrohungsakteursuntersucht, der sich auf Südostasien, Afrika und Südamerika konzentriert. In seinem Tool-Set befindet die plattformübergreifende Backdoor DinodasRAT [1], auch bekannt als XDealer, die zuvor bei Angriffen des chinesischen Bedrohungsakteurs LuoYu beobachtet wurde. Der Artikel befasst sich mit der technischen Analyse der Linux-Version (v11) von DinodasRAT, genannt Linodas. Sie scheint ausgereifter zu sein als die Windows-Version und verfügt über eine Reihe speziell auf Linux-Server zugeschnittener Funktionen. Darüber hinaus führt die untersuchte Version ein separates Umgehungsmodul ein, um Spuren von Malware im System zu verbergen. Dabei wird die Ausführung der System-Binärdateien durch Proxys modifiziert. Die Ursprünge von Dinodas Mehrere Hinweise deuten darauf hin, dass DinodasRAT ursprünglich auf dem Open-Source-Projekt SimpleRemote [2] basierte. Dahinter steckt ein Fernzugriffstool, das wiederum auf dem Gh0st RAT [3] beruht, aber einige zusätzliche Verbesserungen aufweist. Zu den Ähnlichkeiten zwischen SimpleRemote und einer älteren Version von DinodasRAT gehören das Verwenden derselben Zlib-Bibliothek in Version 1.2.11 sowie Überschneidungen im Code, beispielsweise die nahezu identisch ausfallende Funktion zum Erkennen der Betriebssystemversion (Abbildung 1). Die Entwickler von DinodasRAT verwendeten aber nicht nur Teile des Quellcodes wieder, sondern auch zusätzlichen Open-Source-Code aus einem anderen Respository. Dabei handelt es sich um Funktionen für die Handhabung von INI-Dateien. Das letzte Beispiel dafür, dass Open-Source-Code in die Backdoor eingeflossen ist, ist die von den Entwicklern gewählte Verschlüsselungsmethode. Anstatt ihre eigene Methode zu implementieren, entschieden sie sich für die im QQ-Messenger eingesetzte Verschlüsselung. Eigenständige Codebasis Alle Beispiele des plattformübergreifenden DinodasRAT betten eine Zeichenfolge ein, die die interne Version der Backdoor enthält. In den Linux-Samples tauchen einige die Entwicklung der Backdoor widerspiegelnde Strings auf (Tabelle “Strings und die Entwicklung der Backdoor”). Markierung erstmals entdeckt Hashes Linux_%s_%s_%u_V7 Juli 2021 3d93b8954ed1441516302681674f4989bd0f20232ac2b211f4b601af0fcfc13bbf830191215e0c8db207ea320d8e795990cf6b3e6698932e6e0c9c0588fc9eff Linux_%s_%s_%u_V10 Januar 2023 15412d1a6b7f79fad45bcd32cf82f9d651d9ccca082f98a0cca3ad5335284e45 Linux_%s_%s_%u_V11 November 2023 6302acdfce30cec5e9167ff7905800a6220c7dda495c0aae1f4594c7263a29b2 ebdf3d3e0867b29e66d8b7570be4e6619c64fae7e1fbd052be387f736c980c8e (eingebettetes Modul) Die früheste Linux-Version haben die Sicherheitsforscher erstmals im Juli 2021 in freier Umgebung gesichtet. Linodas besitzt zwar dieselbe Logik wie die Windows-Variante, fügt aber ebenso eine Reihe eigener Verhaltensweisen hinzu und zielt speziell auf Linux-Server ab. Die jüngste Linodas-Version (v11) lässt sich auch in der Windows-Variante beobachten, das mit demselben C2-Server »update.microsoft-setting[.]com« kommuniziert (Tabelle “Linux- und Windows-Version im Vergleich”). Version Betriebssystem Hash Linux_%s_%s_%u_V11 Linux 6302acdfce30cec5e9167ff7905800a6220c7dda495c0aae1f4594c7263a29b2 Win_%s_%s_%u_V10 Windows 57f64f170dfeaa1150493ed3f63ea6f1df3ca71ad1722e12ac0f77744fb1a829 Zwei Proben mit unterschiedlichen internen Versionen legen nahe, dass es zwei verschiedene Entwicklungsteams gab oder zumindest zwei Backdoors in unterschiedlichen Entwicklungsstadien, die mit demselben C2-Server kommunizieren. Die Linux- und Windows-Versionen weisen […]