Der Raspberry Pi im Visier von Trojanern

© Udo Schotten, 123RF

Trojaner, nein danke!

Der auf Raspbian zugeschnittene Trojaner Linux.MulDrop.14 versucht den Raspberry Pi in einen Mining-Sklaven für Crypto-Währungen zu verwandeln. Wir erklären, wie Sie sich vor einer Infektion schützen.

Noch vor wenigen Jahren waren Viren die größte Bedrohung für Computersysteme. Die Schadprogramme nutzten Sicherheitslücken aus, um sich mehr oder minder unkontrolliert zu verbreiten. Einen "Nutzen" hatten die Schöpfer dieser Schädlinge in der Regel nicht vorgesehen. Oft brachten die Viren den Rechner einfach nur zum Absturz oder machten ihn unbenutzbar.

Heute soll Malware nicht mehr nur einfach Schaden anrichten, die Entwickler hinter diesen Programmen möchten gekaperte Rechner zu Geld machen. Entweder verschlüsselt die Schadsoftware Daten, die sie nur gegen Zahlung eines Lösegelds wieder freigibt (Stichwort Ransomware), oder sie macht den Computer zu einem Zombie, der für die weitere Verbreitung des Trojaners sorgt, andere Rechner angreift oder als unfreiwilliger Datenproxy fungiert.

RasPi-Trojaner

Dabei haben es die Cracker nicht nur auf Computer abgesehen. In vielen alltäglichen Geräten steckt in der Elektronik ein kleiner Computer mitsamt Betriebssystem, das sich unter Ausnutzung von Sicherheitslücken angreifen lässt. Ob Router, IP-Kamera oder Waschmaschine: Das Internet der Dinge schafft viele Möglichkeiten – daher dürfen weder Hersteller noch Nutzer die Sicherheit der Systeme aus den Augen verlieren.

Zu den eher ungewöhnlichen Zielen gehört auch der Raspberry Pi. Der Anfang Juli 2017 publik gewordene Trojaner Linux.MulDrop.14 [1] sucht gezielt nach RasPis im lokalen Netzwerk und versucht, diese zu Zombies zu machen. Raspbian machte es dem Trojaner lange Zeit sehr leicht, da sämtliche Systeme in der Standardeinstellung dieselben Zugangsdaten nutzen und über den von Haus aus aktiven SSH-Server eine Angriffsfläche boten.

Zwar haben die Raspbian-Entwickler inzwischen schon reagiert und die Sicherheitslücke abgeschwächt, indem der SSH-Server nur noch auf expliziten Wunsch des Anwenders startet [2], doch das einheitliche Login und Passwort bleiben. Einzig ein kleiner Hinweis beim Login via SSH erinnert die Anwender daran, das Passwort raspberry des Nutzers pi via passwd gegen ein eigenes Kennwort auszutauschen (Abbildung 1).

Abbildung 1: Frisch aufgesetzte Systeme nutzen die Standard-Credentials pi:raspberry. Ändern Sie unbedingt das Passwort.

Zombie-Himbeere

Diesen Umstand macht sich der Trojaner Linux.MulDrop.14 zunutze: Er durchsucht das Netzwerk aktiv nach Rechnern, die am SSH-Port 22 auf Verbindungsanfragen lauschen. Erhalten sie von dort eine Antwort, versucht sich der Trojaner mit den Zugangsdaten pi:raspberry anzumelden. Im Erfolgsfall setzt das Schadprogramm ein neues Passwort, startet ein Mining-Werkzeug für Crypto-Währungen und versucht, weitere anfällige RasPis im Netz ausfindig zu machen und sich weiter auf diesen zu verbreiten.

Der Trojaner besteht aus einem einfachen Bash-Skript; den vollständigen Code finden Sie beispielsweise im deutschsprachigen Raspberry-Forum [3]. Das Programm schreibt nach dem Start zuerst eine Kopie seiner selbst in ein zufällig benanntes Unterverzeichnis von /opt/ und trägt sich zudem in die /etc/rc.local ein, damit das System die Startroutine beim Booten automatisch ausführt (Listing 1).

Listing 1

 

#!/bin/bash
[...]
if [ "$EUID" -ne 0 ]
then
NEWMYSELF=`mktemp -u 'XXXXXXXX'`
sudo cp $MYSELF /opt/$NEWMYSELF
sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
sudo sh -c "echo 'exit 0' >> /etc/rc.local"
[...]

Anschließend schießt das Skript eine Reihe von Diensten ab, die dem Programm in die Quere kommen könnten. Dazu gehört mit Kaiten [4] ein konkurrierender Trojaner; auch bins.sh (das Programm taucht im Zusammenhang mit Linux-Malware immer wieder auf) sowie die Domain http://bins.deutschland-zahlung.eu scheinen den Machern von Linux.MulDrop.14 nicht zu gefallen. Die Domain leitet der Trojaner auf Localhost um und legt sie somit auf dem Rechner lahm (Listing 2). Außerdem löscht das Programm die .bashrc für root und pi, damit lokale Bash-Konfigurationen das Ausführen des Trojaners nicht behindern.

Listing 2

 

[...]
killall bins.sh
killall minerd
[...]
killall zmap
killall kaiten
killall perl
echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc
[...]

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Quellcode managen mit Git und dem Raspberry Pi

    Mit wenigen Handgriffen zum Git-Hoster: Die dezentrale Arbeitsweise von Git erleichtert in Kombination mit der Netzwerkfähigkeit des RasPi das Verwalten von Quellcode.

  • Editorial RPG 03/2015

    Als die Raspberry Pi Foundation das überarbeitete Modell B+ präsentierte, waren durchaus einige RasPi-Fans ein wenig enttäuscht. Die vier USB-Ports und die stabilere Stromversorgung kamen vielen Bastlern gelegen, doch die RasPi-Community wartete sehnlich auf ein Modell mit mehr Leistung. Der unerwartet schnell präsentierte Raspberry Pi 2 versöhnt die Gemeinschaft nun wieder.

  • Heimautomation mit dem Raspberry Pi

    Mit geringem finanziellem Aufwand und ein wenig Bastelei bringen Sie dem RasPi bei, morgens das Licht einzuschalten, den Kaffee zu kochen und Ihren Lieblingsfilm im Fernseher abzuspielen.

  • Raspberry-Pi-Klon SolidRun HummingBoard aus Israel

    Mit Quad-Core-Power, mehr Speicher und schnelleren Interfaces soll das HummingBoard dem Raspberry Pi Konkurrenz machen. Trotz weitgehender Kompatibilität der Schnittstellen steckt der Teufel hier, wie so oft, im Detail.

  • PHP auf dem Raspberry Pi

    Es muss nicht immer Python sein: Auch per PHP lassen sich auf dem RasPi die GPIO-Pins ansteuern, was das Ganze für Webapps interessant macht.

Aktuelle Ausgabe

10/2019
Raspberry Pi 4B

Diese Ausgabe als PDF kaufen

Preis € 9,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Sonnige Zeiten

    UV-Strahlung ist für das menschliche Auge unsichtbar, was sie umso gefährlicher macht. Die Höhe der tatsächlichen Belastung verrät Ihnen das Selbstbauprojekt UV-Sensor.

  • Gut verpackt

    Für das Ansteuern kleiner Displays gibt es keine Programme von der Stange. Mit Python und einer Pygame-Bibliothek erstellen Sie trotzdem im Handumdrehen Anwendungen.

  • Macro-Mini-Micro-Bit

    Was dem Raspberry Pi für die Computerwelt gelungen ist, versucht der BBC Micro:bit für Mikrocontroller zu wiederholen. Das für Schüler entwickelte Kit hilft beim Einstieg in die hardwarenahe Programmierung.

  • Vorhang auf

    Mit dem modernen Video-Codec HEVC (H.265) erstellte Filme spielen bisherige RasPi-Modelle oft nur ruckelnd ab. Wir testen, ob der neue Raspberry Pi 4B das besser kann.

  • Überraschung!

    Eine optimierte Architektur und mehr RAM beschleunigen den RasPi 4B deutlich. Wir prüfen, wie gut sich der Neuling als Desktop-Rechner schlägt.

  • Durchgestartet

    Ein Stresstest zeigt, wie sich der neue Raspberry Pi 4 Modell B gegenüber den älteren Modellen abhebt.

  • Vierte Generation

    Eine schnellere CPU, USB 3.0 und Gigabit-Ethernet sind nur die Highlights des Raspberry Pi 4B: Das Board bringt viele weitere Neuerungen mit.

  • Tiefenmesser

    Um die Pumpe in einem Brunnenschacht möglichst genau zu positionieren, brauchen Sie dessen Tiefe. Die ermitteln Sie mithilfe eines präzisen Messgeräts aus einem Luftdrucksensor und einem Mikrocontroller.

  • Faktencheck

    Das via DVB-T2 ausgestrahlte Digital-TV liefert Bilder in HD-Qualität. Der dabei eingesetzte H.265-Standard überfordert allerdings kleine Mini-Rechner wie den Raspberry Pi – oder geht es doch?

  • Zugriff von außen

    React Native erlaubt es, Apps mit wenigen Zeilen Code zu programmieren. Mit einem entsprechenden Server sprechen Sie so den RasPi vom Smartphone aus an.