Der Raspberry Pi im Visier von Trojanern

© Udo Schotten, 123RF

Trojaner, nein danke!

Der auf Raspbian zugeschnittene Trojaner Linux.MulDrop.14 versucht den Raspberry Pi in einen Mining-Sklaven für Crypto-Währungen zu verwandeln. Wir erklären, wie Sie sich vor einer Infektion schützen.

Noch vor wenigen Jahren waren Viren die größte Bedrohung für Computersysteme. Die Schadprogramme nutzten Sicherheitslücken aus, um sich mehr oder minder unkontrolliert zu verbreiten. Einen "Nutzen" hatten die Schöpfer dieser Schädlinge in der Regel nicht vorgesehen. Oft brachten die Viren den Rechner einfach nur zum Absturz oder machten ihn unbenutzbar.

Heute soll Malware nicht mehr nur einfach Schaden anrichten, die Entwickler hinter diesen Programmen möchten gekaperte Rechner zu Geld machen. Entweder verschlüsselt die Schadsoftware Daten, die sie nur gegen Zahlung eines Lösegelds wieder freigibt (Stichwort Ransomware), oder sie macht den Computer zu einem Zombie, der für die weitere Verbreitung des Trojaners sorgt, andere Rechner angreift oder als unfreiwilliger Datenproxy fungiert.

RasPi-Trojaner

Dabei haben es die Cracker nicht nur auf Computer abgesehen. In vielen alltäglichen Geräten steckt in der Elektronik ein kleiner Computer mitsamt Betriebssystem, das sich unter Ausnutzung von Sicherheitslücken angreifen lässt. Ob Router, IP-Kamera oder Waschmaschine: Das Internet der Dinge schafft viele Möglichkeiten – daher dürfen weder Hersteller noch Nutzer die Sicherheit der Systeme aus den Augen verlieren.

Zu den eher ungewöhnlichen Zielen gehört auch der Raspberry Pi. Der Anfang Juli 2017 publik gewordene Trojaner Linux.MulDrop.14 [1] sucht gezielt nach RasPis im lokalen Netzwerk und versucht, diese zu Zombies zu machen. Raspbian machte es dem Trojaner lange Zeit sehr leicht, da sämtliche Systeme in der Standardeinstellung dieselben Zugangsdaten nutzen und über den von Haus aus aktiven SSH-Server eine Angriffsfläche boten.

Zwar haben die Raspbian-Entwickler inzwischen schon reagiert und die Sicherheitslücke abgeschwächt, indem der SSH-Server nur noch auf expliziten Wunsch des Anwenders startet [2], doch das einheitliche Login und Passwort bleiben. Einzig ein kleiner Hinweis beim Login via SSH erinnert die Anwender daran, das Passwort raspberry des Nutzers pi via passwd gegen ein eigenes Kennwort auszutauschen (Abbildung 1).

Abbildung 1: Frisch aufgesetzte Systeme nutzen die Standard-Credentials pi:raspberry. Ändern Sie unbedingt das Passwort.

Zombie-Himbeere

Diesen Umstand macht sich der Trojaner Linux.MulDrop.14 zunutze: Er durchsucht das Netzwerk aktiv nach Rechnern, die am SSH-Port 22 auf Verbindungsanfragen lauschen. Erhalten sie von dort eine Antwort, versucht sich der Trojaner mit den Zugangsdaten pi:raspberry anzumelden. Im Erfolgsfall setzt das Schadprogramm ein neues Passwort, startet ein Mining-Werkzeug für Crypto-Währungen und versucht, weitere anfällige RasPis im Netz ausfindig zu machen und sich weiter auf diesen zu verbreiten.

Der Trojaner besteht aus einem einfachen Bash-Skript; den vollständigen Code finden Sie beispielsweise im deutschsprachigen Raspberry-Forum [3]. Das Programm schreibt nach dem Start zuerst eine Kopie seiner selbst in ein zufällig benanntes Unterverzeichnis von /opt/ und trägt sich zudem in die /etc/rc.local ein, damit das System die Startroutine beim Booten automatisch ausführt (Listing 1).

Listing 1

 

#!/bin/bash
[...]
if [ "$EUID" -ne 0 ]
then
NEWMYSELF=`mktemp -u 'XXXXXXXX'`
sudo cp $MYSELF /opt/$NEWMYSELF
sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
sudo sh -c "echo 'exit 0' >> /etc/rc.local"
[...]

Anschließend schießt das Skript eine Reihe von Diensten ab, die dem Programm in die Quere kommen könnten. Dazu gehört mit Kaiten [4] ein konkurrierender Trojaner; auch bins.sh (das Programm taucht im Zusammenhang mit Linux-Malware immer wieder auf) sowie die Domain http://bins.deutschland-zahlung.eu scheinen den Machern von Linux.MulDrop.14 nicht zu gefallen. Die Domain leitet der Trojaner auf Localhost um und legt sie somit auf dem Rechner lahm (Listing 2). Außerdem löscht das Programm die .bashrc für root und pi, damit lokale Bash-Konfigurationen das Ausführen des Trojaners nicht behindern.

Listing 2

 

[...]
killall bins.sh
killall minerd
[...]
killall zmap
killall kaiten
killall perl
echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc
[...]

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Editorial RPG 03/2015

    Als die Raspberry Pi Foundation das überarbeitete Modell B+ präsentierte, waren durchaus einige RasPi-Fans ein wenig enttäuscht. Die vier USB-Ports und die stabilere Stromversorgung kamen vielen Bastlern gelegen, doch die RasPi-Community wartete sehnlich auf ein Modell mit mehr Leistung. Der unerwartet schnell präsentierte Raspberry Pi 2 versöhnt die Gemeinschaft nun wieder.

  • Heimautomation mit dem Raspberry Pi

    Mit geringem finanziellem Aufwand und ein wenig Bastelei bringen Sie dem RasPi bei, morgens das Licht einzuschalten, den Kaffee zu kochen und Ihren Lieblingsfilm im Fernseher abzuspielen.

  • Raspberry-Pi-Klon SolidRun HummingBoard aus Israel

    Mit Quad-Core-Power, mehr Speicher und schnelleren Interfaces soll das HummingBoard dem Raspberry Pi Konkurrenz machen. Trotz weitgehender Kompatibilität der Schnittstellen steckt der Teufel hier, wie so oft, im Detail.

  • PHP auf dem Raspberry Pi

    Es muss nicht immer Python sein: Auch per PHP lassen sich auf dem RasPi die GPIO-Pins ansteuern, was das Ganze für Webapps interessant macht.

  • FHEM auf dem Raspberry Pi installieren

    Die Hausautomatisierungssoftware FHEM fehlt bislang in den Paketquellen von Raspbian, Sie müssen sie also manuell auf einem bestehenden System einspielen. Dieser Artikel zeigt, wie das am besten klappt.

Aktuelle Ausgabe

04/2019
TV & Multimedia

Diese Ausgabe als PDF kaufen

Preis € 9,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Finger weg

    Ein Temperatursensor verrät, ob Sie einen Gegenstand gefahrlos berühren dürfen. Beim Messen brauchen Sie dabei noch nicht einmal Kontakt zum Objekt.

  • Aus einer Hand

    Um einen Mikrocontroller zu programmieren, genügt ein Raspberry Pi. Wir zeigen, was Sie dazu noch benötigen.

  • Im Gleichtakt

    Synchronisierte Live-Loops und selbst erstellte Funktionen helfen dabei, Sonic Pi wie ein Live-Instrument zu spielen.

  • Mach mal

    Das Ftduino-Modul schlägt die Brücke zu Fischertechnik und ermöglicht es unter anderem, einen Drei-Achsen-Roboter anzusteuern.

  • Eleganter Diener

    Jeden Morgen dieselben Handgriffe, um zu sehen, ob die S-Bahn fährt und wie das Wetter wird? Ein cleverer Infoscreen auf RasPi-Basis automatisiert den Vorgang.

  • Bienenflüsterer

    Bienenzüchter, die ihre Völker besser kennenlernen möchten, müssen die fleißigen Insekten nicht pausenlos stören. Mit einem Raspberry Pi und verschiedenen Sensoren überwachen sie Temperatur, Luftfeuchtigkeit und bald auch das Gewicht des Bienenstocks.

  • Beerige Musik

    Für echten Hi-Fi-Sound braucht es mehr als einen kleinen Bluetooth-Brüllwürfel. Mit Volumio und einem Raspberry Pi rüsten Sie Ihre klassische Hi-Fi-Anlage mit smarten Funktionen auf.

  • Ton ab!

    Auf den ersten Blick erscheint der RasPi zu schwachbrüstig für den Betrieb leistungshungriger DAW-Software. Doch der Schein trügt.

  • Himbeer-TV

    Der DVB TV µHAT rüstet den Raspberry Pi mit einem DVB-T/T2-Tuner auf. Die deutsche TV-Landschaft schränkt dessen Möglichkeiten allerdings ein.

  • Git à la RasPi

    Mit wenigen Handgriffen zum Git-Hoster: Die dezentrale Arbeitsweise von Git erleichtert in Kombination mit der Netzwerkfähigkeit des RasPi das Verwalten von Quellcode.