Sicherheit + Datenschutz 15. Mai 2020 3 Min Lesezeit

Kaiji – Neuartige Go-Malware im Umlauf

Geschrieben von
Roger Klein
Ripple20

Die Experten der Non-Profit-Organisation MalwareMustDie haben eine neue Schadsoftware entdeckt. Die in Go entwickelte Software wurde auf den Namen Linux/Kaiji getauft. Sie scheint sich noch in der Entwicklung zu befinden, ist aber bereits auf ersten ungeschützten Systemen aufgeschlagen. Der Wurm greift Linux-Server und vor allem auf Linux aufbauende IoT-Geräte an und könnte die Grundlage für eine neue Generation von Botnets darstellen. Als Ursprung der Malware machen die Experten momentan China aus. Auf Intezer beschreiben sie im Detail, welche Erkenntnisse bislang über den neuen Schädling vorliegen.

So verbreitet sich Linux/Kaiji

Kaiji greift Linux-Systeme mit nach aussen offenen SSH-Schnittstellen an. Betroffen sind Server und vor allem viele billige IoT-Geräte — aber auch Desktop-Linux-Systeme können getroffen werden. Das Programm setzt dabei auf mehrere Bruteforce-Mechanismen. Die von MalwareMustDie untersuchten Versionen beherrschen bislang sechs davon: unter anderem ipspoof und Synack-Attacken. Hat der Wurm sich Root-Rechte verschafft, stiehlt er vorhandene SSH-Schlüssel und startet weitere Bruteforce-Angriffe.

Kaiji ist effizient aber noch nicht fertig

Eine Besonderheit von Kaiji: die Software wird in Go entwickelt. Go bringt viele Funktionen und Bibliotheken für den effizienten Zugriff auf Netzwerkschnittstellen mit — auch Eigenverschlüsselung ist ohne grossen Aufwand zugänglich. Damit bleibt die Malware selbst auf rechenschwachen IoT-Geräten effektiv einsetzbar. Die Entwickler können sich so ganz auf die eigentlichen Schadfunktionen konzentrieren, statt Infrastruktur-Code zu schreiben. Anders als die meisten aktuell kursierenden Schädlinge — in C/C++ programmiert, oft aus vorgefertigten Codeversatzstücken früherer Würmer zusammengesetzt — ist Kaiji eine völlige Neuentwicklung. Das macht sie unberechenbar: Virenscanner erkennen einen solchen Wurm oft erst Wochen nach seinem Auftauchen.

Ein Wurm im Beta-Stadium

Kaiji ist noch keine fertige Software. Zahlreiche als demo_ deklarierte Strings im Programmcode und eine Reihe von Fehlern deuten darauf hin. Die Hauptfunktion ruft sich in den bislang bekannten Versionen zu häufig selbst auf und bringt die Host-Systeme zum Absturz — besonders IoT-Devices mit schwachem Prozessor und knappem Speicher. Auch der Command-and-Control-Server, von dem aus das Botnet befehligt wird, ist oft nicht erreichbar. In seiner jetzigen Form ist das System noch nicht fertig. Dennoch scheint klar, dass dieses Rechnernetz das Potenzial hat, einmal für grossangelegte DDoS-Attacken eingesetzt zu werden.

Die Spur führt nach China

Die Experten gehen davon aus, dass die Entwicklung in China stattfindet. Darauf weisen chinesische Wörter in englischer Umschrift hin, die als Variablen im Source-Code verwendet werden. Auch der namensgebende Begriff Kaiji — soviel wie Stiefel, oder im Englischen etwas ambivalenter boot — gehört dazu. Diese Hinweise überzeugen die Experten, dass der Schädling chinesischen Ursprungs ist.

Langsame Ausbreitung

Kaiji stellt momentan noch keine übermässige Gefahr dar — die Ausbreitung ist schlicht zu langsam. Bislang ist Kaiji ausserdem noch nicht in der Lage, Exploits auf ungepatchten Systemen auszunutzen. Sobald das möglich ist, dürften wesentlich mehr IoT-Geräte anfällig werden. Dass Kaiji in Go entwickelt wird und komplett neu geschrieben ist — laut VirusTotal bislang von sehr wenigen Scannern erkannt —, deutet auf echtes Gefahrenpotenzial hin. Andere Botnetze kommen momentan selten über einige Tausend Infektionen hinaus. Kaiji könnte, sofern die Entwicklung schnell voranschreitet und den Antivirus-Programmen zuvorkommt, zu einem echten Massenproblem werden, schreibt ZDNet.

Schadsoftware in Go liegt im Trend

Auch die Security-Experten von Palo Alto Networks beobachten in der Malwareentwicklung eine Tendenz hin zu moderneren Programmiersprachen. Besonders Go gewinnt an Popularität — wohl auch, weil sich damit plattformübergreifend entwickeln lässt und Linux, Mac OS und Windows auf einen Schlag abgedeckt werden. Dazu kommt ein unerwarteter Nebeneffekt der statischen Bibliotheks-Einbindung: die fertigen Binärdateien sind vielen Virenscannern schlicht zu gross für eine effektive Analyse. Ob das auf Kaiji übertragbar ist und Ausbrüche auf Windows und macOS drohen, bleibt offen. Sobald der Schädling aber erst einmal Sicherheitslücken effizient ausnutzen kann, wäre der Befall anderer Systeme durchaus denkbar.

Tags: Malware
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-05-28 Die Corona-App: Top oder Flop? Von Tracking, Wettstreit und Wunschdenken 2020-05-29 DoS Attacken auf Hochleistungsrechner und Elektrizitätswerke 2020-08-28 Studie offenbart häufigste Ursachen für Datenlecks

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG