Das Kryptomining-Malware sich im RAM (Random Access Memory) verstecken ist nicht unbekannt, die Frage ist nur, wie gut kann sie sich verstecken.
Unbekannte Angreifer setzen derzeit eine neu entdeckte Python-basierte Malware namens Pyloose ein, um Linux-Systeme zu infizieren. Diese Malware nutzt das quelloffene Mining-Tool XMRig und zielt darauf ab, Kryptowährungen, insbesondere Monero (XMR), direkt aus dem Arbeitsspeicher der betroffenen Systeme abzubauen.
Keine Spuren im Dateisystem
Die Hacker verwenden Systemtools wie memfd (Memory File Descriptor), um das Pyloose-Skript direkt im Arbeitsspeicher des Zielsystems auszuführen. Dieser Ansatz ermöglicht es der Malware, keinerlei Spuren im Dateisystem zu hinterlassen, was es für herkömmliche Sicherheitslösungen schwieriger macht, sie zu erkennen. Die Verwendung von memfd ermöglicht es, das Skript direkt im RAM zu laden und auszuführen, anstatt es als Datei auf der Festplatte abzulegen.
Diese Vorgehensweise erschwert auch die Zuordnung der Angriffe zu einer bestimmten Hackergruppe, da keine brauchbaren Beweise auf dem Dateisystem hinterlassen werden. Die Forscher haben Schwierigkeiten, die Angriffe aufgrund des Fehlens von herkömmlichen Spuren zu verfolgen und bestimmten Akteuren zuzuordnen.
Ausführung von Systembefehlen unterbinden
Durch eine HTTP-Anfrage konnte ein Hacker die schädliche Nutzlast über eine von ihm kontrollierte Domain direkt in den Arbeitsspeicher laden und dort den vorkompilierten XMRig-Miner ausführen. In diesem Fall handelte es sich um die Version 6.19.3 des Miners, der mit dem Mining-Pool Moneroocean verbunden war.
Die Sicherheitsforscher raten Administratoren von Linux-Systemen dazu, Webdienste, die die Ausführung von Code ermöglichen, nicht öffentlich zugänglich zu machen. Diese sollten immer durch moderne Authentifizierungsmethoden geschützt sein. Darüber hinaus wird empfohlen, die Ausführung von Systembefehlen in solchen Diensten zu blockieren.