{"id":3422,"date":"2023-07-13T21:11:22","date_gmt":"2023-07-13T19:11:22","guid":{"rendered":"https:\/\/www.felix-bauer-it.de\/blog\/?p=3422"},"modified":"2023-07-14T06:56:56","modified_gmt":"2023-07-14T04:56:56","slug":"neue-linux-malware-pyloose-schuerft-kryptowaehrungen-direkt-aus-dem-speicher","status":"publish","type":"post","link":"https:\/\/www.felix-bauer-it.de\/blog\/neue-linux-malware-pyloose-schuerft-kryptowaehrungen-direkt-aus-dem-speicher\/","title":{"rendered":"Neue Linux-Malware (PyLoose) sch\u00fcrft Kryptow\u00e4hrungen direkt aus dem Speicher"},"content":{"rendered":"<div class=\"wp-block-image\">\n<figure class=\"alignright size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/malware_attacke-700x700.png\" alt=\"Malware Attacke\" class=\"wp-image-3425\" width=\"175\" height=\"175\" srcset=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/malware_attacke-700x700.png 700w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/malware_attacke-300x300.png 300w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/malware_attacke-150x150.png 150w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/malware_attacke-768x768.png 768w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/malware_attacke-800x800.png 800w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/malware_attacke.png 1024w\" sizes=\"(max-width: 175px) 100vw, 175px\" \/><\/figure><\/div>\n\n\n<p>Forscher des Sicherheitsunternehmens Wiz haben am 22. Juni 2023 <a rel=\"noreferrer noopener\" href=\"http:\/\/www.wiz.io\/blog\/pyloose-first-python-based-fileless-attack-on-cloud-workloads\" data-type=\"URL\" data-id=\"http:\/\/www.wiz.io\/blog\/pyloose-first-python-based-fileless-attack-on-cloud-workloads\" target=\"_blank\">eine neue Malware identifiziert<\/a>, die Cloud-Workloads ausnutzt, um Kryptow\u00e4hrungen zu sch\u00fcrfen. Das zugrundeliegende Schadprogramm PyLoose, ein einfaches Python-Skript mit vorprogrammiertem XMRig-Miner, wird verwendet, um die virtuelle W\u00e4hrung Monero zu generieren.<\/p>\n\n\n\n<p>Der XMRig-Miner ist ein weit verbreitetes Open-Source-Tool, das CPU-Ressourcen nutzt, um komplexe Algorithmen im Kontext des Krypto-Minings zu l\u00f6sen. Es ist base64-kodiert in PyLoose eingebettet und liegt in einer relativ aktuellen Version vor, die den Mining-Pool \"MoneroOcean\" verwendet.<\/p>\n\n\n\n<p>PyLoose erweist sich als besonders t\u00fcckisch: Als dateibasierte Malware agiert sie direkt aus dem Speicher heraus und hinterl\u00e4sst keine Spuren auf den Systemlaufwerken. Das macht die Malware schwer auffindbar und sch\u00fctzt sie vor signaturbasierten Erkennungssystemen. Eingebettet in regul\u00e4re Systemprozesse nutzt PyLoose legitime Systemwerkzeuge, um seinen Schadcode auszuf\u00fchren.<\/p>\n\n\n\n<p>Bislang konnten die Wiz-Experten mindestens 200 best\u00e4tigte Kompromittierungen durch diese Malware aufdecken. Die Angriffe beginnen typischerweise mit dem Zugriff auf Systeme \u00fcber \u00f6ffentlich zug\u00e4ngliche Jupyter Notebook-Dienste, die keine Einschr\u00e4nkungen f\u00fcr Systembefehle aufweisen.<\/p>\n\n\n\n<p>Um den Schadcode zu implementieren, greifen die Angreifer \u00fcber eine HTTPS GET-Anfrage auf eine Pastebin-\u00e4hnliche Website zu, von der sie PyLoose abrufen und direkt in den Speicher von Python laden.<\/p>\n\n\n\n<p>Trotz intensiver Untersuchungen konnten die Wiz-Forscher die Angriffe bisher keinem Angreifer zuordnen, da die Angreifer kaum verwertbare Spuren hinterlassen.<\/p>\n\n\n\n<p>Die Sicherheitsexperten raten Administratoren von Cloud-Instanzen zu erh\u00f6hter Wachsamkeit: Sie sollten auf die Nutzung von \u00f6ffentlichen Diensten verzichten, die anf\u00e4llig f\u00fcr die Ausf\u00fchrung von Code sind, und auf starke Passw\u00f6rter, mehrstufige Authentifizierung sowie strikte Einschr\u00e4nkungen f\u00fcr die Ausf\u00fchrung von Systembefehlen setzen.<\/p>","protected":false},"excerpt":{"rendered":"<p>Forscher des Sicherheitsunternehmens Wiz haben am 22. Juni 2023 eine neue Malware identifiziert, die Cloud-Workloads ausnutzt, um Kryptow\u00e4hrungen zu sch\u00fcrfen. Das zugrundeliegende Schadprogramm PyLoose, ein einfaches Python-Skript mit vorprogrammiertem XMRig-Miner, wird verwendet, um die virtuelle W\u00e4hrung Monero zu generieren. Der XMRig-Miner ist ein weit verbreitetes Open-Source-Tool, das CPU-Ressourcen nutzt, um komplexe Algorithmen im Kontext des...<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,1,3],"tags":[],"_links":{"self":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/3422"}],"collection":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/comments?post=3422"}],"version-history":[{"count":5,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/3422\/revisions"}],"predecessor-version":[{"id":3431,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/3422\/revisions\/3431"}],"wp:attachment":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/media?parent=3422"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/categories?post=3422"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/tags?post=3422"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}