Krypto-Mining Malware Muldrop.14 kapert Raspberry Pis für Botnetz
Linux.Muldrop.14 eint gezielt ungesicherte Raspberry Pis in einem Botnetz und sperrt dann deren Nutzer aus, um Geld in der Kryptowährung zu generieren. Linux.Muldrop.14 attackiert ausschließlich Raspberry Pis mit geöffnetem SSH-Port (Secure Shell Home) für externe Verbindungen und werkseitigem Kennwort für den Benutzer ‘pi’.

Von Linux.Muldrop.14 befallene Raspberry Pis sind zum einen daran zu erkennen, dass Prozesse extrem langsam laufen. Denn die Malware installiert eigene Bibliotheken, um weitere Raspberry Pis mit geöffnetem SSH-Port 22 aufzuspüren, diese als Botnetze in Besitz zu nehmen und mit deren geballter Rechenleistung Kryptowährung zu sammeln.
Gleichzeitig sperrt der Trojaner den eigentlichen Nutzer aus, indem es das werksseitige Passwort des infizierten Raspberry Pis ersetzt und somit root-Access erhält.
So agiert Linux.Muldrop.14
Details von Linux.Muldrop.14 haben die Virenanalysten von „Dr. Web“ beschrieben:
Der Linux-Trojaner Linux.Muldrop.14 ist ein Bash-Skript mit einem so genannten „Mining“- oder „Schürf“-Programm zum Sammeln von digitaler Währung. Im Visier hat Linux.Muldrop.14 allen Anschein nach allerdings nicht die gängigen Bitcoins, sondern Monera.
Hat der Trojaner einen Raspberry Pi gekapert, installiert er neben eigenen Bibliotheken Zmap und Sshpass. Desweiteren ändert er das werksseitige Passwort des Users „pi“ in “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1” (ohne Leerzeichen), so dass sich der eigentliche Nutzer nicht mehr anmelden kann.
Anschließend scannt Linux.Muldrop.14 das Internet in einer Endlosschleife mittels zmap nach Netzwerkknoten mit offenem Port 22. Findet er solche, versucht sich der Trojaner dort mittels sshpass über das Login(Username):Passwort „pi:raspberry“ einzuloggen. Dabei nutzt er nur diese Kombination, attackiert also nur Raspberry Pis. Klappt dies, beginnt Linux.Muldrop.14 mit dem Download und der Installation seiner Bibliotheken, ... .
Um Linux.Muldrop.14 von befallenen Raspberry Pis zu entfernen, muss das System komplett neu aufgespielt werden.
So schützen Sie Ihren Raspberry Pi vor Linux.Muldrop.14
Ist Ihr Raspberry Pi noch nicht von Linux.Muldrop.14 befallen, können Sie sich folgendermaßen schützen:
SSH ist auf allen Raspbian-Systemen seit Dezember 2016 bereits werksseitig deaktiviert. Haben Sie ein älteres System, können Sie über die Konsole mittels Eingabe
„sudo apt-get upgrade“
und Internetverbindung ein Upgrade vornehmen.
Wollen Sie dies nicht, oder haben Sie SSH für den Fernzugriff aktiviert, sollten Sie diesen bei Nichtbedarf deaktivieren, etwa über die Konsole mit dem Befehl:
sudo raspi-config
Im Konfigurationstool lässt sich über „advanced options“ SSH auf „Enable“ oder „Disable“ setzen.
Ändern des Passworts
Desweiteren ist natürlich das bei allen Raspbian-Installationen werksseitige Passwort „raspberry“ zu ändern. Um das Passwort zu ändern, drücken Sie entweder die Schaltfläche ‘Change Password’ in der Raspberry Pi Configuration oder, wenn Sie auf der Kommandozeile arbeiten, tippen Sie passwd ein. Beachten Sie: typischerweise sehen Sie unter Linux bei der Passworteingabe keine Zeichen.
Haben Sie das alte Passwort getippt, fordert das System Sie auf, das neue Passwort zwei Mal einzugeben.
Ändern des Usernamens
Noch sicherer wird Raspberry Pi, wenn der Username geändert wird. Dieser lautet werksseitig bei allen Raspberry Pis „pi“. Idealerweise geht dies, wenn ein neuer User mit denselben Rechten des „pi“-Users angelegt wird. Dies erfolgt über den Befehl:
sudo useradd -m fred -G sudo
Angelegt wird dabei ein neuer User, in unserem Beispiel „fred“ und ein Basisordner (home folder). Zudem wird der neue User der sudo-Guppe hinzugefügt. Anschließend für fred ein neues Passwort zu setzen.
Doch Vorsicht! Der „pi“-User kann für einige Anwendungen erforderlich sein. Das Ändern des Usernamens oder gar das Löschen des „pi“-Users kann zu Problemen führen und sollte wohl überlegt sein. Hilfreich ist hier die detaillierte Erläuterung auf der Seite von raspberrypi.org.
Dieser Beitrag erschien ursprünglich auf unserem Partnerportal elektronikpraxis.
(ID:44743780)