Häufige Angriffsmethoden: Linux-Malware auf dem Vormarsch

Foto: J0hnTV – shutterstock.com

Linux-Systeme sind ein begehrtes Angriffsziel. Das Betriebssystem wird für zahlreiche Anwendungs-Backends und Server eingesetzt. Zudem versorgt es eine Vielzahl von Geräten im Internet of Things (IoT). Dennoch wird nicht genug getan, um die Rechner zu schützen, auf denen das freie Betriebssystem läuft.

“Linux-Malware wurde massiv übersehen”, warnt Giovanni Vigna, Senior Director of Threat Intelligence bei VMware. “Da die meisten Cloud-Hosts unter Linux laufen, kann ein Angreifer, der in der Lage ist, Linux-basierte Plattformen zu kompromittieren, auf eine enorme Menge an Ressourcen zugreifen oder durch Ransomware und Wipers erheblichen Schaden anrichten.”

In den vergangenen Jahren hatten es Cyberkriminelle und staatliche Akteure häufig auch auf Linux-basierte Systeme abgesehen. Ziel ist es, Unternehmens- und Regierungsnetzwerke zu infiltrieren oder sich Zugang zu kritischer Infrastruktur zu verschaffen, so ein aktueller VMware-Bericht. Dazu nutzen die Angreifer unter anderem schwache Authentifizierung, ungepatchte Schwachstellen und Fehlkonfigurationen von Servern aus.

Linux-Malware tritt nicht nur immer häufiger auf, sondern wird auch immer vielfältiger. Das Sicherheitsunternehmen Intezer untersuchte die Einzigartigkeit des Codes von Malware-Stämmen, um festzustellen, wie innovativ die Hacker sind. Dabei wurde festgestellt, dass die meisten Malware-Kategorien im Jahr 2021 im Vergleich zu 2020 zunahmen, darunter Ransomware, Banking-Trojaner und Botnets. “Dieser Anstieg der Linux-Angriffe könnte damit zusammenhängen, dass sich Unternehmen zunehmend in Cloud-Umgebungen bewegen, die für ihren Betrieb häufig auf Linux angewiesen sind”, heißt es in dem Bericht. “Der Innovationsgrad von Linux-Malware kam dem von Windows-basierter Malware nahe”, heißt es weiter.

Lesetipp: Neue SysRV-Botnet-Variante – Microsoft warnt vor neuer Windows- und Linux-Bedrohung

Da sich Linux-Malware ständig weiterentwickelt, müssen Unternehmen auf die häufigsten Angriffe achten und ihre Sicherheitsmaßnahmen Schritt für Schritt verbessern. “Linux kann zwar sicherer sein als andere Betriebssysteme, aber ein Betriebssystem ist nur so sicher wie sein schwächstes Glied”, sagt Ronnie Tokazowski, Principal Threat Advisor bei Cofense.

Auf diese sechs Angriffsvarianten auf Linux-Systeme sollten Sie achten:

1. Ransomware zielt auf Images virtueller Maschinen

In den vergangenen Jahren haben Ransomware-Banden Linux-Umgebungen ins Visier genommen. Die Qualität der Malware-Samples ist sehr unterschiedlich, aber Gangs wie Conti, DarkSide, REvil und Hive bauen ihre Fähigkeiten schnell aus.

Ransomware-Angriffe auf Cloud-Umgebungen werden in der Regel sorgfältig geplant. Nach Angaben von VMware versuchen Cyberkriminelle, ihr Opfer vollständig zu kompromittieren, bevor sie mit der Verschlüsselung der Dateien beginnen.

In jüngster Zeit haben Gruppen wie RansomExx/Defray777 und Conti damit begonnen, Linux-Host-Images anzugreifen, die für Workloads in virtualisierten Umgebungen verwendet werden. “Diese neue und besorgniserregende Entwicklung zeigt, wie Angreifer nach den wertvollsten Assets in Cloud-Umgebungen suchen, um maximalen Schaden anzurichten”, heißt es im VMware-Bericht.

Die Verschlüsselung von Images virtueller Maschinen, die auf ESXi-Hypervisoren gehostet werden, ist für diese Banden von besonderem Interesse, da sie wissen, dass sie den Betrieb erheblich beeinträchtigen können. Einem Bericht des Sicherheitsunternehmens Trellix zufolge ist es ein “gängiges Thema in der Ransomware-Landschaft, neue Binärdateien speziell zur Verschlüsselung virtueller Maschinen und ihrer Verwaltungsumgebungen zu entwickeln.”

2. Cryptojacking nimmt weiter zu

Cryptojacking ist eine der am weitesten verbreiteten Arten von Linux-Malware, da sich damit schnell Geld verdienen lässt. “Der Zweck dieser Software ist es, Rechenressourcen zu nutzen, um Kryptowährungen für einen Angreifer zu generieren, typischerweise Monero”, so der Confense-Experte Tokazowski.

Einer der ersten bemerkenswerten Angriffe fand 2018 statt, als die öffentliche Cloud von Tesla zum Opfer wurde. “Die Hacker waren in die Kubernetes-Konsole von Tesla eingedrungen, die nicht passwortgeschützt war”, berichtet das Cloud-Monitoring-Unternehmen RedLock. “Innerhalb eines Kubernetes-Pods wurden die Zugangsdaten zur AWS-Umgebung von Tesla offengelegt, die einen Amazon S3 (Amazon Simple Storage Service)-Bucket mit sensiblen Daten wie Telemetrie enthielt.”

Cryptojacking hat an Bedeutung gewonnen, wobei XMRig und Sysrv zu den bekanntesten Cryptominer-Familien gehören. Ein Bericht von SonicWall zeigte, dass die Anzahl der Angriffsversuche 2021 im Vergleich zum Vorjahr um 19 Prozent gestiegen ist. “Für Kunden aus dem Regierungs- und Gesundheitswesen lag dieser Anstieg im dreistelligen Bereich, wobei Cryptojacking um 709 Prozent beziehungsweise 218 Prozent zunahm”, heißt es in dem Dokument. Das Sicherheitsunternehmen zählte im Durchschnitt 338 Cryptojacking-Versuche pro Kundennetzwerk.

Um ihre Opfer auszuwählen, verwenden viele Gangs Listen mit Standardpasswörtern, Bash-Exploits oder Exploits, die absichtlich auf falsch konfigurierte Systeme mit schwacher Sicherheit abzielen, so Tokazowski. “Einige dieser Fehlkonfigurationen können Directory Traversal Attacken oder Remote File Inclusion Attacken beinhalten, oder sie basieren auf falsch konfigurierten Prozessen mit Standardinstallationen”, ergänzt der Security-Experte.

3. Drei Malware-Familien – XorDDoS, Mirai und Mozi – zielen auf das IoT

Das IoT läuft bis auf wenige Ausnahmen unter Linux. Die einfache Handhabung der IoT-Geräte kann dazu beitragen, dass sie zu potenziellen Opfern werden. CrowdStrike berichtet, dass das Volumen der Malware, die auf Geräte mit Linux abzielt, im Jahr 2021 im Vergleich zu 2020 um 35 Prozent gestiegen ist. Drei Malware-Familien machen 22 Prozent des Gesamtvolumens aus: XorDDoS, Mirai und Mozi. Sie folgen dem gleichen Muster: Geräte infizieren, sie zu einem Botnetz zusammenschließen und sie dann für DDoS-Angriffe nutzen.

Mirai, ein Linux-Trojaner, der Telnet- und Secure Shell (SSH)-Brute-Force-Angriffe nutzt, um Geräte zu kompromittieren, gilt als gemeinsamer Vorfahre vieler Linux-DDoS-Malware-Stämme. Nachdem sein Quellcode 2016 veröffentlicht wurde, entstanden mehrere Varianten. Darüber hinaus lernten Malware-Schreiber davon und implementierten Mirai-Funktionen in ihre eigenen Trojaner.

CrowdStrike stellte fest, dass sich die Zahl der Mirai-Malware-Varianten, die für Intel-betriebene Linux-Systeme kompiliert wurden, im ersten Quartal 2022 im Jahresvergleich mehr als verdoppelt hat. Dabei wurde der größte Anstieg bei Varianten verzeichnet, die auf 32-Bit-x86-Prozessoren abzielten. “Mirai-Varianten entwickeln sich kontinuierlich weiter, um ungepatchte Schwachstellen auszunutzen und ihre Angriffsfläche zu vergrößern”, heißt es in dem Bericht.

Ein weiterer florierender Linux-Trojaner ist XorDDoS. Microsoft stellte fest, dass diese Bedrohung in den letzten sechs Monaten um 254 Prozent zugenommen hat. XorDDoS verwendet Varianten des eigenen Codes, die für ARM-, x86- und x64-Linux-Architekturen kompiliert wurden, um die Wahrscheinlichkeit einer erfolgreichen Infektion zu erhöhen. Wie Mirai verwendet er Brute-Force-Angriffe, um sich Zugang zu seinen Zielen zu verschaffen, und sucht nach dem Eindringen nach Docker-Servern mit offenem Port 2375, um Remote-Root-Zugriff auf den Host zu erhalten, ohne dass ein Passwort erforderlich ist.

Mozi kompromittiert seine Ziele auf ähnliche Weise.Um zu verhindern, dass andere Malware seinen Platz einnimmt, blockiert er anschließend die SSH- und Telnet-Ports. Er erstellt ein Peer-to-Peer-Botnet-Netzwerk und verwendet das DHT-System (Distributed Hash Table), um seine Kommunikation mit dem Command-and-Control-Server hinter legitimem DHT-Verkehr zu verbergen.

Laut dem Global Threat Landscape Report von Fortinet bleibt die Aktivität der erfolgreichsten Botnets im Laufe der Zeit konstant. Das Sicherheitsunternehmen hat herausgefunden, dass Malware-Autoren viel Aufwand betreiben, um sicherzustellen, dass die Infektion zeitlich beständig ist. Damit hebt ein Neustart des Geräts die Kontrolle des Hackers über das infizierte Ziel nicht auf.

4. Staatlich gesponserte Angriffe zielen auf Linux-Umgebungen

Sicherheitsforscher, die staatlich gesteuerte Hackergruppen beobachten, haben festgestellt, dass diese zunehmend Linux-Umgebungen ins Visier nehmen. “Mit dem Ausbruch des russisch-ukrainischen Krieges wurde viel Linux-Malware eingesetzt, darunter auch Wiper”, sagt Ryan Robinson, Sicherheitsforscher bei Intezer. Laut Cyfirma hat die russische APT-Gruppe Sandworm einige Tage vor Beginn des russischen Angriffs auf die Ukraine Linux-Systeme von britischen und US-amerikanischen Behörden attackiert.

ESET gehörte zu den Unternehmen, die den Konflikt und seine Auswirkungen auf die Cybersicherheit genau verfolgt haben. “Vor einem Monat haben wir uns mit Industroyer2 befasst, einem Angriff auf einen ukrainischen Energieversorger”, sagt Marc-Étienne Léveillé, Senior Malware Researcher bei ESET. “Dieser Angriff umfasste Linux- und Solaris-Würmer, die sich über SSH und möglicherweise gestohlene Anmeldedaten verbreiteten.” Es habe sich um einen gezielten Angriff gehandelt, der eindeutig Datenbanken und Dateisysteme zerstören sollte.

Der Linux-Wiper ” vernichtet den gesamten Inhalt der an das System angeschlossenen Festplatten, indem er shred verwendet, falls vorhanden, oder andernfalls einfach dd (mit if=/dev/random)”, heißt es in dem ESET-Papier. “Wenn mehrere Festplatten angeschlossen sind, werden die Daten parallel entfernt, um den Prozess zu beschleunigen. Gemeinsam mit dem CERT-UA schrieb ESET die Malware der APT-Gruppe Sandstorm zu, die 2016 Industroyer eingesetzt hatte, um die Stromversorgung in der Ukraine zu unterbrechen”.

Was andere nationalstaatliche Akteure betrifft, so haben Microsoft und Mandiant herausgefunden, dass mehrere Gruppen, die von China, dem Iran, Nordkorea und anderen Ländern unterstützt werden, die berüchtigte Log4j-Schwachstelle sowohl auf Windows- als auch auf Linux-Systemen ausnutzen, um Zugang zu den von ihnen angegriffenen Netzwerken zu erhalten.

5. Dateilose Angriffe sind schwer zu erkennen

Sicherheitsforscher von AT&T’s Alien Labs haben beobachtet, dass mehrere Akteure, darunter TeamTNT, mit Ezuri ein in Golang geschriebenes Open-Source-Tool verwenden. Die Angreifer verwenden Ezuri, um bösartigen Code zu verschlüsseln. Bei der Entschlüsselung wird die Payload direkt aus dem Speicher ausgeführt, ohne Spuren auf der Festplatte zu hinterlassen, so dass diese Angriffe von Antiviren-Software nur schwer erkannt werden können.

Die Hauptgruppe, die mit dieser Technik in Verbindung gebracht wird, TeamTNT, zielt auf Docker-Systeme ab, die nicht ordnungsgemäß konfiguriert sind, um DDoS-Bots und Cryptominer zu installieren.

6. Linux-Malware zielt auf Windows-Rechner

Linux-Malware kann auch Windows-Rechner über das Windows Subsystem für Linux (WSL) befallen. Dabei handelt es sich um eine Funktion von Windows, mit der Linux-Binärdateien nativ auf diesem Betriebssystem ausgeführt werden können. WSL muss manuell oder durch Teilnahme am Windows Insider-Programm installiert werden. Angreifer können es installieren, wenn sie über erweiterte Zugriffsrechte verfügen.

Das Cloud-Sicherheitsunternehmen Qualys hat untersucht, ob es möglich ist, mithilfe von WSL Angriffe auf einen Windows-Rechner auszuführen oder sich dort festzusetzen. Die Security-Experten analysierten bisher zwei Techniken, die Proxy-Ausführung und die Installation von Dienstprogrammen, und kamen zu dem Schluss, dass beide durchaus möglich sind. Demzufolge können Unternehmen, die sich gegen diese Art von Angriffen schützen wollen, die Virtualisierung und die Möglichkeit zur Installation von WSL deaktivieren. Außerdem ist es hilfreich, laufende Prozesse kontinuierlich zu überprüfen.

Darüber hinaus haben Angreifer auch Funktionen von Windows-Tools auf Linux portiert, um mehr Plattformen anzugreifen. Ein Beispiel dafür ist Vermilion Strike, das auf einem beliebten Penetrationstest-Tool für Windows, CobaltStrike, basiert, aber sowohl für Windows als auch für Linux verwendet werden kann. Vermilion Strike bietet Angreifern Fernzugriffsmöglichkeiten, einschließlich Dateimanipulation und Ausführung von Shell-Befehlen. Das Tool wurde gegen Telekommunikationsunternehmen, Regierungsbehörden und Finanzinstitute eingesetzt, wobei die Angreifer in erster Linie Spionage betreiben wollten.

Die Forscher von Intezer schreiben in ihrem Bericht, dass “Vermilion Strike möglicherweise nicht die letzte Linux-Implementierung” des CobaltStrike Beacon ist.

Schutz vor Linux-Malware

Die Sicherheit ist am schwächsten, wenn Systemadministratoren und Entwickler gegen die Zeit und die Fristen kämpfen. Entwickler vertrauen beispielsweise blind auf von der Community bereitgestellten Code. Sie kopieren und fügen Code von Stack Overflow ein, führen Software schnell aus, nachdem sie ein GitHub-Repository geklont haben, oder stellen eine Anwendung von Docker Hub direkt in ihrer Produktionsumgebung bereit.

Gewiefte Angreifer machen sich diese “Ökonomie der Aufmerksamkeit” zunutze. Sie fügen Docker-Containern Cryptominer hinzu oder erstellen Open-Source-Pakete mit Namen, die fast identisch mit stark genutzten Bibliotheken sind, und nutzen so den gelegentlichen Rechtschreibfehler der Entwickler aus.

“Die Ausnutzung offener Docker- und Kubernetes-Implementierungen ist ziemlich interessant: Unvorsichtige Leute lassen ihre Container-Implementierungen für die Welt offen, und diese Installationen können leicht übernommen und als Brückenkopf für weitere Angriffe oder für andere Monetarisierungsaktivitäten, wie zum Beispiel Monero-Mining, genutzt werden”, so Vigna von VMware.

“Ich bin ein eifriger Verfechter von Open-Source-Software und -Kultur, aber eine Sache, die mir wirklich Angst macht, ist die Fragilität der Vertrauenskette, die mit öffentlichen Software-Repositories einhergeht”, sagt Ryan Cribelar, Vulnerability Research Engineer bei Nucleus Security. “Das ist natürlich kein Linux-spezifisches Problem, aber eine bösartige Bibliothek, die zum Beispiel in PyPi- oder NPM-Repositories lauert, wird den Linux-Administratoren und Sicherheitsteams wohl den meisten Schlaf rauben.”

Bei Linux-Servern sind Fehlkonfigurationen ein weiteres großes Problem, das an mehreren Stellen der Infrastruktur auftreten kann. “Häufig sind die Einstellungen von Firewalls oder Sicherheitsgruppen falsch konfiguriert, um den Zugriff auf das Internet zu ermöglichen, was wiederum den externen Zugriff auf Anwendungen auf Linux-Servern erlaubt”, erklärt Robinson von Intezer.

Die Anwendungen sind häufig so fehlerhaft eingestellt, dass sie den Zugriff ohne Authentifizierung oder mit Standard-Anmeldeinformationen erlauben. “Je nach falsch konfigurierter Anwendung können Angreifer Informationen stehlen oder bösartigen Code auf dem Linux-Server ausführen”, so Robinson weiter. “Häufige Beispiele sind falsch konfigurierte Docker-Daemons, die es Angreifern ermöglichen, ihre eigenen Container auszuführen, oder falsch konfigurierte Anwendungen, die Passwörter und Kundendaten ausspähen, wie Apache Airflow.” Robinson fügt hinzu, dass eine Standardkonfiguration nicht mit einer sicheren Konfiguration gleichzusetzen ist.

Joel Spurlock, Senior Director of Malware Research bei CrowdStrike, sieht ein weiteres Problem: das Patching. Er argumentiert, dass Unternehmen “entweder nicht in der Lage oder nicht willens sind, ihre Maschinen auf dem neuesten Stand zu halten”. Patches sollten regelmäßig durchgeführt werden, und Schlagworte wie EDR und Zero Trust sollten ebenfalls auf der Tagesordnung stehen.

Malware, die auf Linux-Umgebungen abzielt, gedeiht auf einer riesigen Spielwiese aus Consumer-Geräten und -Servern, virtualisierten Umgebungen und spezialisierten Betriebssystemen, weshalb die Sicherheitsmaßnahmen, die zum Schutz all dieser Systeme erforderlich sind, Konzentration und sorgfältige Planung erfordern. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.