Neue DDoS-Malware nutzt Jenkins, um Valve Source Engine Game-Server anzugreifen

Sicherheitslage und Risiko

Die für die Zustellung und die Befehls- und Kontrollkommunikation verwendete IP gehört einem vietnamesischen Hosting-Anbieter, was ungewöhnlich ist, da die meisten Malware-Familien ihre Zustell- und C2-Infrastruktur getrennt halten, um eine bessere Widerstandsfähigkeit zu gewährleisten.

Das Botnetz unterstützt mehrere DDoS-Methoden, darunter UDP-Floods, TCP-Push-Angriffe und HTTP-Request-Floods. Eine Technik namens „attack_dayz“ sendet TSource Engine Query-Pakete, die dazu zwingen, dass Valve Source Engine Server große Datenmengen zurückgeben.

Durch das Überfluten eines Ziels mit kleinen Anfragen und das Auslösen großer Antworten kann ein Angreifer Serverressourcen mit vergleichsweise wenig Bandbreite erschöpfen, was ein gefährlicher Verstärkungsangriff für Betreiber.

Sicherheitslage und Risiko

Infektionsmechanismus und Persistenz Nach der Landung auf einem Linux-System arbeitet die Malware sofort daran, versteckt zu bleiben und der Entfernung zu widerstehen. Sie setzt Jenkins-Umgebungsvariablen auf „dontKillMe“ und täuscht Jenkins damit vor, den Prozess über seinen üblichen Timeout hinaus laufen zu lassen.

Ohne dies würde Jenkins den bösartigen Prozess automatisch beenden. Dieser kleine, aber effektive Schritt ermöglicht es der Malware, auf einem kompromittierten Server ohne sofortige Erkennung zu überleben.

Bösartiges Skript, dekodiert mit CyberChef (Quelle – DarkTrace) Die Malware löscht dann ihre ursprüngliche ausführbare Datei und benennt sich um, um wie ein legitimer Linux-Kernel-Prozess auszusehen, entweder „ksoftirqd/0“ oder „kworker“, beides auf Standard-Linux-Installationen zu finden.

Einordnung fuer Autofahrer

Sie verwendet eine Double-Fork-Methode, um still als Hintergrund-Daemon zu laufen, und leitet alle Eingabe-, Ausgabe- und Fehlerkanäle auf /dev/null um, wodurch keine Protokolle zurückbleiben. Sie fängt auch Beendigungs-Signale wie SIGTERM ab und lässt sie ignorieren, was es schwieriger macht, den Prozess mit normalen Befehlen zu stoppen.

Stealth-Komponente der Hauptfunktion (Quelle – DarkTrace) Sobald es aktiv ist, verbindet sich die Malware mit dem C2-Server, meldet die Systemarchitektur und geht in eine Schleife, in der sie auf Angriffsanweisungen wartet.

Es gibt drei Dienstprogramm-Befehle: „PING“ für Keep-Alive-Prüfungen, „!stop“ zum Beenden und „!update“ um eine neuere Version vom C2-Server abzurufen und neu zu starten. Serverbetreiber, die Valve Source Engine Spielserver betreiben, sollten jetzt handeln, um die Exposition zu reduzieren.

Technischer Hintergrund

Die Entfernung des öffentlichen Zugriffs auf Jenkins-Endpunkte, die Durchsetzung einer starken Authentifizierung und die Überwachung des ausgehenden Datenverkehrs auf ungewöhnliche Verbindungen sind wesentliche erste Schritte.

Es wird auch empfohlen, TCP-Port 5444 auf der Firewall-Ebene zu blockieren, da die Nutzlast diesen Port für die C2-Kommunikation verwendet. Organisationen sollten die bestätigte Angreifer-IP 103[.]177.110.202 am Netzwerk-Perimeter blockieren und unverzüglich alle veröffentlichten Indikatoren für Kompromittierung überprüfen.