Die Tage, an denen sich förmlich alle einig waren, dass Viren und Malware Linux-Systeme nicht betreffen, sind längst vorüber. Lange wurde die Kombination aus den Vorteilen von Open Source und einer starken, Unix-ähnlichen Sicherheit als perfekt angesehen. Jetzt jedoch werden Linux-basierte Betriebssysteme mehr und mehr als angreifbar betrachtet und als neues Ziel ins Visier genommen.
Diese Veränderung entstand zum Teil aus der wachsenden Erkenntnis von sowohl Linux-Bastlern als auch Systemadministratoren, dass ein kompromittiertes Linux-System zum Beispiel für Angreifer, die über Webserver attackieren, sehr rentabel ist. Zudem hat die Malware-Forschung in den letzten Jahren die Sicherbarkeit von Gefahren für Linux deutlich erhöht.
Natürlich ist immer noch etwas dran an der landläufigen Meinung, dass Linux eine bessere, wenn auch nicht perfekte, Security besitzt. Aber: Es wird nicht zwischen verschiedenen Arten und Fallbeispielen unterschieden. Zudem werden die verschiedenen plattformspezifischen Gefahren außer Acht gelassen. Die Distribution für Linux-Desktop ist weiterhin weit in der Unterzahl verglichen mit Windows-Systemen (und natürlich auch mit macOS-Geräten, wenn wir gerade dabei sind). Diese Nischenposition spielt natürlich eine Rolle dafür, dass es nicht so viel Linux-basierte Malware gibt.
Richten wir den Blick allerdings auf öffentliche Server, wird ersichtlich, dass viel mehr schädliche Aktivitäten unter dem Deckel von Linux schlummern. Das gleiche kann über eingebettete Geräte, Netzwerkausrüstung und Android-Smartphones behauptet werden, die auch auf die ein oder andere Art auf Linux beruhen.
Konzentrieren wir uns auf Server, nicht zuletzt, da sie die Hauptlast einer Malwareattacke auf Linux-Systeme tragen. Linux-Server sind das Herzstück der meisten Datencenter und das Betriebssystem ist beliebt bei vielen Unternehmen unterschiedlicher Branchen und Größen. Tatsächlich wird ein Großteil des Internets von Linux betrieben, z. B. die Server bei Google, Facebook und Twitter.
Es ist sicherlich nicht verwunderlich, dass es in der jüngsten Vergangenheit viele Beispiele für Schäden gab, die bei der Linux-Server-Installation von Malware ausgelöst wurden. Ein angreifbarer Server ist ein unbezahlbares Ziel für viele verschiedene schädliche Aktionen – wie Diebstahl von persönlichen Daten und Anmeldedaten, Umleitung des Web-Traffics, DDoS-Attacken und Krypto-Währung-Mining. Zudem können Server für das Hosting eines Command and Control (C&C) Servers missbraucht werden, der Schadcode oder Spam-Kampagnen mit Malware versendet – diese nehmen besonders Windows-Systeme ins Visier.
Ein kurzer Rückblick in die Geschichte
Man muss gar nicht weit zurückschauen, um ein passendes Beispiel für Schäden in der hochgepriesenen Linux Malware-Rüstung zu finden. Vor ungefähr einem Jahr veröffentlichten ESET-Forscher eine Menge OpenSSH-Backdoors – eine wichtige Waffe von Angreifern, die versuchen wollen dem Administrator die Kontrolle über einen Server zu entreißen. Die Forscher stießen dabei auch auf 21 Linux-basierte Malware-Familien. Das schließt auch einige ein, die vorher noch nie dokumentiert wurden. Fast alle Arten besaßen Anmeldedaten-Diebstahls- und Backdoor-Funktionen.
Die veröffentlichten Erkenntnisse waren das Ergebnis einer drei Jahre langen Recherche, welche letztendlich einen einzigartigen Einblick in das Linux-Malware-Ökosystem bot. Natürlich war das keine isolierte Leistung oder erschien einfach aus dem Nichts heraus. Die Forscher gingen auf die Jagd, ausgerüstet mit Einblicken in die preisgekrönte Recherche zum Thema „Operation Windigo“. Diese hatte rund 25.000 Server, die meisten davon Linux-betrieben, in eines der größten Server-Botnets zusammengeschlossen. Die kompromittierten Geräte wurden zum Datendiebstahl, für Spam-Kampagnen, für die Umleitung des Traffics zu schädlichen Seiten und für andere gefährliche Aktionen missbraucht.
Im Herzen der Kampagne, welche für drei Jahre unentdeckt bliebt, stand die Linux/Ebury-Backdoor. Schon bevor die Malware auf dem Server installiert wurde, ließen die Angreifer Ebury checken, ob der Server bereits mit einer anderen SSH-Backdoor ausgestattet wurde. Diese Routine startete die Jagd nach wilden OpenSSH-Malware-Familien. Der Rest ist Geschichte.
Über die Jahre hinweg machte das ESET-Team viele weitere Entdeckungen, die zur Wissensdatenbank über Linux-Server-Malware hinzugefügt wurden. Unter anderem wurde ermittelt, dass Windigo mit einer vorherigen Entdeckung in Verbindung gebracht werden konnte – Linux/Cdorked, einer der ausgeklügeltsten Backdoors, die Linux Apache Web-Server zu dieser Zeit ins Visier nahm. Auch weckte Windigo Erinnerungen an die ESET Recherche zum Thema Mumblehard – ein anderes Botnet, das tausende Linux-Server zombifizierte und letztendlich durch internationale Gesetze und Einsätze mit der Hilfe von ESET offline genommen wurde.
Wie kann man Malware einfangen?
ESET Forscher möchten gern ihre Einblicke mit Linux-Mitarbeitern teilen, die im Bezug auf Server-fokussierte Malware eventuell nicht adäquat weitergebildet sind. Die bevorstehende RSA 2020 Konferenz bietet einen Workshop von ESET Senior Malware Researcher Marc-Etienne M.Léveillé an, der eine zentrale Rolle bei den oben erwähnten Recherchen gespielt hat. Marc-Etiennes Workshop „Hunting Linux Malware for Fun and Flags” gibt Systemadministratoren und IT-Fachleuten die Chance, das Thema Linux-Malware-Gefahren anzugehen und die Erkenntnisse auf die eigene Server-Umgebung zu übertragen.
Nächste Woche erwartet Sie daher ein Interview mit Marc-Etienne, der eine Expertenperspektive auf das Linux-Malware-Ökosystem gibt.