Der Raspberry Pi im Visier von Trojanern

© Udo Schotten, 123RF

Trojaner, nein danke!

Der auf Raspbian zugeschnittene Trojaner Linux.MulDrop.14 versucht den Raspberry Pi in einen Mining-Sklaven für Crypto-Währungen zu verwandeln. Wir erklären, wie Sie sich vor einer Infektion schützen.

Noch vor wenigen Jahren waren Viren die größte Bedrohung für Computersysteme. Die Schadprogramme nutzten Sicherheitslücken aus, um sich mehr oder minder unkontrolliert zu verbreiten. Einen "Nutzen" hatten die Schöpfer dieser Schädlinge in der Regel nicht vorgesehen. Oft brachten die Viren den Rechner einfach nur zum Absturz oder machten ihn unbenutzbar.

Heute soll Malware nicht mehr nur einfach Schaden anrichten, die Entwickler hinter diesen Programmen möchten gekaperte Rechner zu Geld machen. Entweder verschlüsselt die Schadsoftware Daten, die sie nur gegen Zahlung eines Lösegelds wieder freigibt (Stichwort Ransomware), oder sie macht den Computer zu einem Zombie, der für die weitere Verbreitung des Trojaners sorgt, andere Rechner angreift oder als unfreiwilliger Datenproxy fungiert.

RasPi-Trojaner

Dabei haben es die Cracker nicht nur auf Computer abgesehen. In vielen alltäglichen Geräten steckt in der Elektronik ein kleiner Computer mitsamt Betriebssystem, das sich unter Ausnutzung von Sicherheitslücken angreifen lässt. Ob Router, IP-Kamera oder Waschmaschine: Das Internet der Dinge schafft viele Möglichkeiten – daher dürfen weder Hersteller noch Nutzer die Sicherheit der Systeme aus den Augen verlieren.

Zu den eher ungewöhnlichen Zielen gehört auch der Raspberry Pi. Der Anfang Juli 2017 publik gewordene Trojaner Linux.MulDrop.14 [1] sucht gezielt nach RasPis im lokalen Netzwerk und versucht, diese zu Zombies zu machen. Raspbian machte es dem Trojaner lange Zeit sehr leicht, da sämtliche Systeme in der Standardeinstellung dieselben Zugangsdaten nutzen und über den von Haus aus aktiven SSH-Server eine Angriffsfläche boten.

Zwar haben die Raspbian-Entwickler inzwischen schon reagiert und die Sicherheitslücke abgeschwächt, indem der SSH-Server nur noch auf expliziten Wunsch des Anwenders startet [2], doch das einheitliche Login und Passwort bleiben. Einzig ein kleiner Hinweis beim Login via SSH erinnert die Anwender daran, das Passwort raspberry des Nutzers pi via passwd gegen ein eigenes Kennwort auszutauschen (Abbildung 1).

Abbildung 1: Frisch aufgesetzte Systeme nutzen die Standard-Credentials pi:raspberry. Ändern Sie unbedingt das Passwort.

Zombie-Himbeere

Diesen Umstand macht sich der Trojaner Linux.MulDrop.14 zunutze: Er durchsucht das Netzwerk aktiv nach Rechnern, die am SSH-Port 22 auf Verbindungsanfragen lauschen. Erhalten sie von dort eine Antwort, versucht sich der Trojaner mit den Zugangsdaten pi:raspberry anzumelden. Im Erfolgsfall setzt das Schadprogramm ein neues Passwort, startet ein Mining-Werkzeug für Crypto-Währungen und versucht, weitere anfällige RasPis im Netz ausfindig zu machen und sich weiter auf diesen zu verbreiten.

Der Trojaner besteht aus einem einfachen Bash-Skript; den vollständigen Code finden Sie beispielsweise im deutschsprachigen Raspberry-Forum [3]. Das Programm schreibt nach dem Start zuerst eine Kopie seiner selbst in ein zufällig benanntes Unterverzeichnis von /opt/ und trägt sich zudem in die /etc/rc.local ein, damit das System die Startroutine beim Booten automatisch ausführt (Listing 1).

Listing 1

 

#!/bin/bash
[...]
if [ "$EUID" -ne 0 ]
then
NEWMYSELF=`mktemp -u 'XXXXXXXX'`
sudo cp $MYSELF /opt/$NEWMYSELF
sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
sudo sh -c "echo 'exit 0' >> /etc/rc.local"
[...]

Anschließend schießt das Skript eine Reihe von Diensten ab, die dem Programm in die Quere kommen könnten. Dazu gehört mit Kaiten [4] ein konkurrierender Trojaner; auch bins.sh (das Programm taucht im Zusammenhang mit Linux-Malware immer wieder auf) sowie die Domain http://bins.deutschland-zahlung.eu scheinen den Machern von Linux.MulDrop.14 nicht zu gefallen. Die Domain leitet der Trojaner auf Localhost um und legt sie somit auf dem Rechner lahm (Listing 2). Außerdem löscht das Programm die .bashrc für root und pi, damit lokale Bash-Konfigurationen das Ausführen des Trojaners nicht behindern.

Listing 2

 

[...]
killall bins.sh
killall minerd
[...]
killall zmap
killall kaiten
killall perl
echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc
[...]

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Quellcode managen mit Git und dem Raspberry Pi

    Mit wenigen Handgriffen zum Git-Hoster: Die dezentrale Arbeitsweise von Git erleichtert in Kombination mit der Netzwerkfähigkeit des RasPi das Verwalten von Quellcode.

  • Editorial RPG 03/2015

    Als die Raspberry Pi Foundation das überarbeitete Modell B+ präsentierte, waren durchaus einige RasPi-Fans ein wenig enttäuscht. Die vier USB-Ports und die stabilere Stromversorgung kamen vielen Bastlern gelegen, doch die RasPi-Community wartete sehnlich auf ein Modell mit mehr Leistung. Der unerwartet schnell präsentierte Raspberry Pi 2 versöhnt die Gemeinschaft nun wieder.

  • Heimautomation mit dem Raspberry Pi

    Mit geringem finanziellem Aufwand und ein wenig Bastelei bringen Sie dem RasPi bei, morgens das Licht einzuschalten, den Kaffee zu kochen und Ihren Lieblingsfilm im Fernseher abzuspielen.

  • Raspberry-Pi-Klon SolidRun HummingBoard aus Israel

    Mit Quad-Core-Power, mehr Speicher und schnelleren Interfaces soll das HummingBoard dem Raspberry Pi Konkurrenz machen. Trotz weitgehender Kompatibilität der Schnittstellen steckt der Teufel hier, wie so oft, im Detail.

  • PHP auf dem Raspberry Pi

    Es muss nicht immer Python sein: Auch per PHP lassen sich auf dem RasPi die GPIO-Pins ansteuern, was das Ganze für Webapps interessant macht.

Aktuelle Ausgabe

06/2019
Home Improvement

Diese Ausgabe als PDF kaufen

Preis € 9,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Verschlungene Pfade

    Mit Schleifen, Fallunterscheidungen und Funktionen programmieren Sie komplexe Skripte auf einfache und elegante Weise.

  • Extrem genau

    Mit einem A/D-Wandler messen Sie bei Bedarf Spannungen. Der MCP3424 macht dabei konstruktionsbedingt eine gute Figur.

  • Verbindungsaufnahme

  • Süßer Wecker

    Dem RasPi fehlen sowohl eine Echtzeituhr als auch ein BIOS, ein zeitgesteuertes Wecken erfordert also Zusatzkomponenten. Hier springt der Witty Pi Mini in die Bresche, ein µHAT von UUGear.

  • Windows to go

    Das Aufsetzen zuverlässiger und sicherer Remote-Desktop-Lösungen erfordert einiges Know-how. Die RasPi-basierte Pinbox von Pintexx reduziert den Konfigurationsaufwand auf ein Minimum.

  • Prima Klima

    In Museen ist es Pflicht, zu Hause nützlich: das permanente Prüfen und zentrale Erfassen der Feuchtigkeit und Temperatur in Räumen.

  • Auf einen Blick

    Ein maßgeschneiderter Infoscreen auf RasPi-Basis mit stromsparendem E-Ink-Display zeigt Termine, Bilder, Mitteilungen und Wetterinformationen an.

  • Sanft berührt

    Mit einem RasPi und dem Controllermodul PiXtend lassen sich mühelos Roboterarme ansteuern und deren Bewegung automatisieren.

  • Popcorn-Kino

    Mit Kodi 18.0 unterstützt LibreELEC 9.0 jetzt die von vielen Streaming-Diensten genutzte DRM-Verschlüsselung. Die Integration von Netflix, Amazon und Co. erfordert allerdings Handarbeit.

  • So nah und doch so fern

    Der RasPi kommt häufig als Server oder Steuerrechner für spezielle Zwecke zum Einsatz. Mit Anydesk erhalten Sie dazu eine Steuersoftware mit grafischer Oberfläche.