Die Experten der Non-Profit-Organisation MalwareMustDie haben eine neue Schadsoftware entdeckt. Die in Go entwickelte Software wurde auf den Namen Linux/Kaiji getauft. Es scheint sich noch in der Entwicklung zu befinden, ist aber bereits auf ersten ungeschützten Systemen aufgeschlagen. Der Wurm greift Linux-Server und vor allem auf Linux aufbauende IoT-Geräte an und könnte die Grundlage für eine neue Generation von Botnets darstellen. Als Ursprung der Malware machen die Experten momentan China aus. Auf Intezer beschreiben sie im Detail, welche Erkenntnisse bislang über den neuen Schädling vorliegen.
So verbreitet sich Linux/Kaiji
Kaiji greift Linuxsysteme mit nach aussen offenen SSH-Schnittstellen an. Davon sind Server und vor allem viele billige IoT-Geräte betroffen. Aber auch Desktop-Linux-Systeme können gegebenenfalls getroffen werden. Dazu greift das Programm auf eine Reihe von Bruteforce-Mechanismen zurück. Die von den MalwareMustDie-Experten untersuchten Versionen der Schadsoftware beherrschen bislang sechs solche Methoden: unter anderem ipspoof und Synack-Attacken. Hat der Wurm sich auf diese Weise erst einmal Rootrechte auf dem Gerät verschafft, stiehlt er dort vorhandene SSH-Schlüssel und führt darüber hinaus weitere Bruteforce-Angriffe aus.
Kaiji ist effizient aber noch nicht fertig
Eine Besonderheit von Kaiji besteht darin, dass die Software in der modernen Programmiersprache Go entwickelt wird. Go bringt viele Funktionen und Bibliotheken für den effizienten Zugriff auf Netzwerkschnittstellen mit. Auch Eigenverschlüsselung, mit der Kaiji sich vor Antivirus-Software zu schützen versucht, ist in Go ohne grossen Aufwand zugänglich. Dadurch ist die neue Malware selbst auf rechenschwachen Internet-of-Things-Geräten immer noch effektiv einsetzbar. Ausserdem geniessen die Entwickler damit den Komfort, sich ganz auf die Programmierung der eigentlichen Schadfunktionen konzentrieren zu können. Anders als sonst in Umlauf befindliche Schadsoftware, die meist in C/C++ programmiert wird und sich häufig aus vorgefertigten Codeversatzstücken früherer Würmer zusammensetzt, ist Kaiji eine völlige Neuentwicklung. Auch das macht die Software potenziell gefährlich, mindestens aber unberechenbar. Virenscanner nämlich erkennen einen solchen Wurm oft erst Wochen, nachdem er in Umlauf geraten ist.
Ein Wurm im Beta-Stadium
Im Moment ist Kaiji aber ganz offensichtlich noch keine fertige Software und scheint sich in der Entwicklung zu befinden. Zahlreiche als demo_ deklarierte Strings innerhalb des Programmcodes sowie die Tatsache, dass der Code gegenwärtig eine Reihe von Fehlern aufweist weisen darauf hin. So ruft die Hauptfunktion von Kaiji sich in den bislang bekannten Versionen zu häufig selbst wieder auf und bringt damit die Host-Systeme zum Absturz. Gerade IoT-Devices mit schwachem Prozessor und knapp bemessenem Speicher sind davon betroffen. Auch ist der Command-and-Control-Server, von dem aus das Botnet befehligt wird, momentan oft nicht erreichbar. All das deutet darauf hin, dass das System in seiner jetzigen Form noch nicht als fertig eingestuft werden kann. Dennoch scheint klar zu sein, dass auch dieses Rechnernetz das Potenzial besitzt, einmal für grossangelegte DDoS-Attacken eingesetzt werden zu können.
Die Spur führt nach China
Interessant ist auch, die Herkunft des neuen Schädlings. Die Experten gehen davon aus, dass die Entwicklung in China stattfindet. Darauf weisen zum Beispiel chinesische Wörter in englischer Umschrift hin, die als Variablen innerhalb des Source-Codes verwendet werden. Auch das namensgebende Kaiji, das soviel wie Stiefel – oder im Englischen etwas ambivalenter boot – bedeutet, gehört dazu. Die Experten sind sich aufgrund solcher Hinweise sehr sicher, dass der Schädling chinesischen Ursprungs ist.
Langsame Ausbreitung
Kaiji stellt im Moment noch keine übermässige Gefahr dar. Zu langsam breitet die neue Schadsoftware sich dazu gegenwärtig aus. Bislang ist Kaiji allerdings auch noch nicht dazu in der Lage, Exploits auf ungepatchten Systemen auszunutzen. Sobald das möglich ist, dürften wesentlich mehr IoT-Geräte für Angriffe durch den Wurm anfällig werden. Dass Kaiji in Go, einer ausserordentlich effizienten und modernen Programmiersprache entwickelt wird, spricht dafür, dass der Wurm auf Dauer zu einer echten Gefahr werden könnte. Auch dass die Software komplett neu geschrieben wird und bislang laut VirusTotal nur von sehr wenigen Virenscannern erkannt wird, deutet auf das Gefahrenpotenzial hin. Während andere Botnetze momentan selten über einige Tausend Infektionen hinausgelangen, könnte Kaiji, sofern die Entwicklung jetzt schnell voranschreitet und den Antivirus-Programmen zuvorkommt, vielleicht zu einem echten Massenproblem werden, schreibt ZDNet.
Schadsoftware in Go liegt im Trend
Auch die Security-Experten von Palo Alto Networks beobachten in der Malwareentwicklung eine Tendenz hin zu moderneren Programmiersprachen. Besonders Go gewinnt dabei an Popularität. Wohl auch, weil, wie die Experten es beschreiben, es damit möglich ist, plattformübergreifend zu entwickeln und Linux, Mac OS und Windows auf einen Schlag zu „bedienen“. Ausserdem habe die Tatsache, dass in Go-Programmen alle genutzten Bibliotheken statisch in der fertigen Binärdatei verpackt werden, einen ungeahnten Nebeneffekt, heisst es bei Palo Alto Networks weiter. Die so entstehenden Programme seien vielen Virenscannern schlicht zu gross, um sie effektiv analysieren zu können. Ob diese Beobachtungen auch auf Kaiji übertragbar sind und wir demnach mit Ausbrüchen des Wurms auf Windows und Mac-OS-Systemen rechnen müssen, bleibt abzuwarten. Doch sobald der Schädling erst einmal dazu in der Lage ist, Sicherheitslücken effizient auszunutzen, wäre der Befall anderer Systeme durchaus denkbar.