Der Raspberry Pi im Visier von Trojanern

© Udo Schotten, 123RF

Trojaner, nein danke!

Der auf Raspbian zugeschnittene Trojaner Linux.MulDrop.14 versucht den Raspberry Pi in einen Mining-Sklaven für Crypto-Währungen zu verwandeln. Wir erklären, wie Sie sich vor einer Infektion schützen.

Noch vor wenigen Jahren waren Viren die größte Bedrohung für Computersysteme. Die Schadprogramme nutzten Sicherheitslücken aus, um sich mehr oder minder unkontrolliert zu verbreiten. Einen "Nutzen" hatten die Schöpfer dieser Schädlinge in der Regel nicht vorgesehen. Oft brachten die Viren den Rechner einfach nur zum Absturz oder machten ihn unbenutzbar.

Heute soll Malware nicht mehr nur einfach Schaden anrichten, die Entwickler hinter diesen Programmen möchten gekaperte Rechner zu Geld machen. Entweder verschlüsselt die Schadsoftware Daten, die sie nur gegen Zahlung eines Lösegelds wieder freigibt (Stichwort Ransomware), oder sie macht den Computer zu einem Zombie, der für die weitere Verbreitung des Trojaners sorgt, andere Rechner angreift oder als unfreiwilliger Datenproxy fungiert.

RasPi-Trojaner

Dabei haben es die Cracker nicht nur auf Computer abgesehen. In vielen alltäglichen Geräten steckt in der Elektronik ein kleiner Computer mitsamt Betriebssystem, das sich unter Ausnutzung von Sicherheitslücken angreifen lässt. Ob Router, IP-Kamera oder Waschmaschine: Das Internet der Dinge schafft viele Möglichkeiten – daher dürfen weder Hersteller noch Nutzer die Sicherheit der Systeme aus den Augen verlieren.

Zu den eher ungewöhnlichen Zielen gehört auch der Raspberry Pi. Der Anfang Juli 2017 publik gewordene Trojaner Linux.MulDrop.14 [1] sucht gezielt nach RasPis im lokalen Netzwerk und versucht, diese zu Zombies zu machen. Raspbian machte es dem Trojaner lange Zeit sehr leicht, da sämtliche Systeme in der Standardeinstellung dieselben Zugangsdaten nutzen und über den von Haus aus aktiven SSH-Server eine Angriffsfläche boten.

Zwar haben die Raspbian-Entwickler inzwischen schon reagiert und die Sicherheitslücke abgeschwächt, indem der SSH-Server nur noch auf expliziten Wunsch des Anwenders startet [2], doch das einheitliche Login und Passwort bleiben. Einzig ein kleiner Hinweis beim Login via SSH erinnert die Anwender daran, das Passwort raspberry des Nutzers pi via passwd gegen ein eigenes Kennwort auszutauschen (Abbildung 1).

Abbildung 1: Frisch aufgesetzte Systeme nutzen die Standard-Credentials pi:raspberry. Ändern Sie unbedingt das Passwort.

Zombie-Himbeere

Diesen Umstand macht sich der Trojaner Linux.MulDrop.14 zunutze: Er durchsucht das Netzwerk aktiv nach Rechnern, die am SSH-Port 22 auf Verbindungsanfragen lauschen. Erhalten sie von dort eine Antwort, versucht sich der Trojaner mit den Zugangsdaten pi:raspberry anzumelden. Im Erfolgsfall setzt das Schadprogramm ein neues Passwort, startet ein Mining-Werkzeug für Crypto-Währungen und versucht, weitere anfällige RasPis im Netz ausfindig zu machen und sich weiter auf diesen zu verbreiten.

Der Trojaner besteht aus einem einfachen Bash-Skript; den vollständigen Code finden Sie beispielsweise im deutschsprachigen Raspberry-Forum [3]. Das Programm schreibt nach dem Start zuerst eine Kopie seiner selbst in ein zufällig benanntes Unterverzeichnis von /opt/ und trägt sich zudem in die /etc/rc.local ein, damit das System die Startroutine beim Booten automatisch ausführt (Listing 1).

Listing 1

 

#!/bin/bash
[...]
if [ "$EUID" -ne 0 ]
then
NEWMYSELF=`mktemp -u 'XXXXXXXX'`
sudo cp $MYSELF /opt/$NEWMYSELF
sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
sudo sh -c "echo 'exit 0' >> /etc/rc.local"
[...]

Anschließend schießt das Skript eine Reihe von Diensten ab, die dem Programm in die Quere kommen könnten. Dazu gehört mit Kaiten [4] ein konkurrierender Trojaner; auch bins.sh (das Programm taucht im Zusammenhang mit Linux-Malware immer wieder auf) sowie die Domain http://bins.deutschland-zahlung.eu scheinen den Machern von Linux.MulDrop.14 nicht zu gefallen. Die Domain leitet der Trojaner auf Localhost um und legt sie somit auf dem Rechner lahm (Listing 2). Außerdem löscht das Programm die .bashrc für root und pi, damit lokale Bash-Konfigurationen das Ausführen des Trojaners nicht behindern.

Listing 2

 

[...]
killall bins.sh
killall minerd
[...]
killall zmap
killall kaiten
killall perl
echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc
[...]

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Editorial RPG 03/2015

    Als die Raspberry Pi Foundation das überarbeitete Modell B+ präsentierte, waren durchaus einige RasPi-Fans ein wenig enttäuscht. Die vier USB-Ports und die stabilere Stromversorgung kamen vielen Bastlern gelegen, doch die RasPi-Community wartete sehnlich auf ein Modell mit mehr Leistung. Der unerwartet schnell präsentierte Raspberry Pi 2 versöhnt die Gemeinschaft nun wieder.

  • Heimautomation mit dem Raspberry Pi

    Mit geringem finanziellem Aufwand und ein wenig Bastelei bringen Sie dem RasPi bei, morgens das Licht einzuschalten, den Kaffee zu kochen und Ihren Lieblingsfilm im Fernseher abzuspielen.

  • Raspberry-Pi-Klon SolidRun HummingBoard aus Israel

    Mit Quad-Core-Power, mehr Speicher und schnelleren Interfaces soll das HummingBoard dem Raspberry Pi Konkurrenz machen. Trotz weitgehender Kompatibilität der Schnittstellen steckt der Teufel hier, wie so oft, im Detail.

  • PHP auf dem Raspberry Pi

    Es muss nicht immer Python sein: Auch per PHP lassen sich auf dem RasPi die GPIO-Pins ansteuern, was das Ganze für Webapps interessant macht.

  • FHEM auf dem Raspberry Pi installieren

    Die Hausautomatisierungssoftware FHEM fehlt bislang in den Paketquellen von Raspbian, Sie müssen sie also manuell auf einem bestehenden System einspielen. Dieser Artikel zeigt, wie das am besten klappt.

Aktuelle Ausgabe

12/2018
Coole Projekte

Diese Ausgabe als PDF kaufen

Preis € 7,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Bytes und Beats

    In Sonic Pi können Sie mit wenigen Codezeilen Klänge manipulieren, Beats zusammenstellen und ganze Songs komponieren.

  • Klein, aber fein

  • Trick or treat

    Das traditionelle RPG-Gruselkabinett glänzt dieses Jahr mit einer innovativen Umsetzung mittels Pneumatik und Elektropneumatik sowie ST-Programmierung.

  • Unter Kontrolle

    Traditionell stellen wir alljährlich ein selbst gebautes Halloween-Gespenst vor. Die pneumatischen und elektronischen Grundlagen erklärt dieser Artikel.

  • Go Pi Go!

    Der Bausatz GoPiGo3 liefert Bauteile und Software für ein kleines Roboterauto. Zusammen mit einem RasPi als Gehirn programmieren Sie den Roboter per Mausklick.

  • Handlicher Helfer

    Während die Folien der Präsentation durchlaufen, liefert ein kleiner Dokumentenserver auf Basis des GL-AR300M-ext zusätzliche Informationen aus.

  • Wiederverwertet

    Mithilfe eines einfachen Python-Programms recyceln Sie ein ausgedientes Smartphone als drahtlos angebundenes RasPi-Display.

  • Herzenssache

    Steigt beim Krimi der Herzschlag bedrohlich an? Mit einem Pulsmesser in Eigenbau ermitteln Sie einfach und kostengünstig, ob der Herzschlag noch in verträglichen Bereichen liegt.

  • Fernbedient

    Mit der Fernbedienung den RasPi steuern. In der Theorie möglich, in der Praxis oft beschwerlich. Die Libcec liefert praktische Tools zur Fehlersuche.

  • Musikwürfel

    Mit Musikcube machen Sie Ihre eigene Sammlung fit fürs Streamen. Der terminalbasierte Audioplayer lässt sich Fernsteuern und bietet eine App für Android-Smartphones.