Die Chancen sind hoch, dass allein das Wort "Linux" die Vorstellung einer fast undurchdringlichen Security heraufbeschwört. Allerdings geraten Linux Betriebssysteme und Applikationen vermehrt ins Visier von Cyberkriminellen. In den letzten Jahren wurden viele schädliche Kampagnen entdeckt, die es auf Linux Systeme abgesehen hatten – einschließlich Botnets, die aus tausenden Linux Servern bestanden. Die Vielzahl von Gefahren fordert die konventionelle Auffassung heraus, dass Linux mehr oder weniger von den Problemen verschont bleibt, die andere Betriebssysteme, wie etwa Windows, betreffen.
Leider fehlt vielen Linux Administratoren das nötige Wissen, um Gegenmaßnahmen zu Gefahren einzuleiten, die es auf ihre Infrastruktur abgesehen haben. Um dies zu ändern, hält Marc-Etienne M.Léveillé einen Workshop bei der bevorstehenden RSA Conference 2020. Der Workshop mit dem Titel Hunting Linux Malware for Fun and Flags gibt IT-Fachleuten die Chance, echter Linux Malware in einer sicheren Umgebung den Kampf anzusagen.
Im Vorfeld des Workshops und der Präsentation haben wir die Gelegenheit genutzt, um Marc-Etienne ein paar Fragen zur Linux Security zu stellen.
Du hast bereits einige Jahre damit verbracht, Malware aufzuspüren, die Linux basierte Server infiziert. Würdest Du uns zuallererst einen kurzen Überblick über die Gefahrenlandschaft der Linux Malware für 2020 geben?
Die Gefahren für Linux ähneln im Jahr 2020 dem, was wir in den letzten Jahren bereits gesehen haben. Wir wissen, dass Ebury, die OpenSSH Backdoor der Operation Windigo, regelmäßig aktualisiert und natürlich auch 2020 noch genutzt wird. Wir haben erst im letzten Monat wieder neue Samples entdeckt. Vor ein paar Jahren haben wir dann einen starken Anstieg von Malware, die Router und Linux basierte Peripheriegeräte im Visier hatte, gesehen– zum Beispiel Mirai in allen seinen Varianten oder Moose. Wir haben in letzter Zeit wenig von diesen Gefahren gehört und ich hoffe, dass der Grund dafür ist, dass Internet Service Provider (ISP) und Gerätehersteller diese besser schützen und verhindern, dass Angreifern der Remote Zugriff durch Standardpasswörter ermöglicht wird.
Jedoch gab es bisher keine so ausgeklügelte Kampagne wie Operation Windigo mehr, die wir vor über 5 Jahren entdeckten. Was nicht heißt, dass es keine gibt. Vielleicht werden die Täter auch einfach besser darin, unter dem Radar zu bleiben?
Was sind die hauptsächlichen Gefahren für Linux Server?
Die Gefahren hängen davon ab, welche Dienste der Server bereitstellt. Wenn zum Beispiel eine beliebte Webseite kompromittiert wird, könnte der Traffic umgeleitet werden. Eine Watering-Hole-Attacke kann Besucher der Webseite kompromittieren oder Daten stehlen, die über Formulare eingegeben und verschickt werden. Wir sehen auch immer wieder, dass massenhaft Spam von einem infizierten Server verschickt wird. Etwas, das heute häufiger auftaucht als noch vor ein paar Jahren, ist die Verbreitung von sogenannten Minern von Kryptowährung. Das ist ein einfacher Weg, ein Linux Botnet zu Geld zu machen, ohne zu sehr die eigentlichen Dienstleistungen des kompromittierten Hosts zu stören.
Was hat sich verändert, seit Du das erste Mal Linux Malware untersucht hast?
Immer mehr Gruppen führen nun zielgerichtete Attacken durch. Diese haben auch Linux Malware in ihrem Arsenal. Das geht weit über die normalen Crimeware Kampagnen hinaus, die nur auf finanzielle Gewinne aus sind. Zum Beispiel wurde letztes Jahr entdeckt, dass die Winnti Gruppe, die bekannt ist für ihre Spionage und finanziell motivierte Kampagnen, auch Varianten ihrer Backdoor für Linux besitzt. Das wurde von Kaspersky aufgedeckt und ein paar Jahre später von Chronicle analysiert. Andere gute Beispiele sind die Betriebssystem übergreifende Xagent Backdoor der Sednit Gruppe und Kamino, eine OpenSSH Backdoor, die von Carbanak genutzt wird.
Einige Kampagnen, bei deren Entdeckung Du mitgearbeitet hast, sind vorher viele Jahre unbemerkt geblieben. Warum? Denkst Du, dass sich das auch ändern könnte?
Es ist schwer zu sagen, ob es noch mehr Kampagnen gibt, die unbemerkt bleiben – da wir das Unbekannte eben nicht kennen. Was ich damit sagen will: Es ist sehr wahrscheinlich, dass es viele verschiedene Linux Botnets da draußen gibt, die immer noch unentdeckt sind. Wie viele? Mehr oder weniger von ihnen als vor ein paar Jahren? Diese Fragen lassen sich ohne genaue Zahlen leider nicht beantworten.
Wie wirkt sich fehlende Telemetrie in Hinsicht auf Linux Malware auf Deine Arbeit aus?
Nur ein geringer Prozentsatz von Usern hat ein Security Produkt auf dem Linux System installiert. Das heißt, es ist schwer herauszufinden, wie weit eine Bedrohung sich ausgebreitet hat: Sind die Zahlen eher niedrig, weil die Sample-Größen klein sind oder weil die Bedrohung nicht wirklich verbreitet ist? Dieses Problem betrifft aber nicht nur uns. Es gibt einen generellen Trend, Linux Systeme anders, im Gesamtkonzept mit weniger Fokus, zu behandeln – manchmal aus gutem Grund, aber ich glaube, meist sind es aber leider die falschen Gründe.
Immer wenn eine neue, für Linux gefährliche, Malware entdeckt wird, wirken Nutzer überrascht und neigen dazu, das Problem zu verneinen. Glaubst Du, dass Linux sicherer als andere Betriebssysteme ist?
Viele Leute glauben, dass Linux ein Betriebssystem mit einer besseren Sicherheitsarchitektur ist – verglichen mit allen anderen. Ich denke nicht, dass das etwas ist, dass im Jahr 2020 noch gilt. Auch Microsoft und Apple haben viel Arbeit in die Sicherheit ihrer Plattformen gesteckt. Als Beispiel: In sowohl Windows als auch macOS finden sich seit Jahren Funktionen , die Code Signaturen in ausführbaren Dateien oder die Gültigkeit der Signaturen von zentralen System- und Gerätetreiberfunktionalitäten prüfen. Das alles hat sich bei Linux immer noch nicht flächendeckend durchgesetzt und verbreitet. Ich sage nicht, dass Linux unsicherer ist, aber dass es, wie andere Plattformen auch, seine Stärken und Schwächen hat und definitiv nicht als kugelsicher angesehen werden sollte.
Gibt es etwas, dass Linux basierte Malware von schädlichem Code unterscheidet, der andere Betriebssysteme im Visier hat? Irgendetwas Besonderes im Hinblick auf Tücke, Verschleierung, Widerstandsfähigkeit, Hartnäckigkeit…?
Verglichen mit Windows Malware tendiert Linux Malware dazu, weniger verschleiert und somit einfacher zu analysieren zu sein. Verschleierung wird häufig verwendet, um nicht von Security Produkten entdeckt zu werden. Da letztere oft gar nicht umgangen werden müssen (weil nicht vorhanden), kann dieser Schritt somit einfach übersprungen werden. Ich sage nicht, dass jede Linux Malware einfach zu analysieren und nicht getarnt ist – ich sage nur, dass die Messlatte generell niedriger liegt.
Wenn ein Linux Server kompromittiert ist, ist die Hartnäckigkeit der Malware oft kein so großes Problem wie bei anderen Systemen. Server müssen oft sehr lange Betriebszeiten haben und Reboots werden weniger oft durchgeführt als bei einem Desktop Computer oder einem Laptop. Das Ergebnis ist, dass es Linux-Malware dadurch an Mechanismen fehlt, sich tiefer im System einzunisten.
Welche sind die häufigsten Angriffsvektoren über die Linux Server infiziert werden?
Ich denke, dass Schwachstellen in Web Applikationen immer noch die wichtigsten Angriffsvektoren für Linux Server darstellen. Außerdem haben wir in den letzten Jahren Attacken über Lücken in verschiedenen anderen populären Diensten gesehen, wie zum Beispiel im Exim Mailserver (CVE-2019-10149). Die Ausnutzung dieser Schwachstelle war sogar recht einfach und wir haben eine ganze Reihe an Versuche gesehen, so Malware zu verbreiten - gleich nachdem die Schwachstelle veröffentlicht wurde.
Wie kann man solche Infiltrationen am besten verhindern?
Ich weiß, dass ich wie eine gesprungene Schallplatte klinge … aber regelmäßige Software-Updates gehören immer noch zu den wichtigsten Empfehlungen. Produktivserver, sollten Linux Distribution mit Langzeitsupport (LTS) besitzen, um jederzeit Security-Patches einspielen zu können ohne das ganze System zu aktualisieren und so die Produktion unterbrechen zu müssen.
Zwei-Faktor-Authentifizierung (2FA) bei Anmeldungen per SSH zu nutzen ist ebenfalls ein guter Schritt – vor allem wenn man auf das System über das Internet zugreifen kann oder muss. Die 2FA schützt den Server, falls Anmeldeinformationen gestohlen oder wiederverwendet werden sollten.
Um eine Ausbreitung einzudämmen sollten alle Dienste isoliert werden. Zum Beispiel stellt ein alter, ungenutzter Blog ein Risiko dar, wenn er auf demselben System betrieben wird wie eine Webseite, auf der Finanztransaktionen durchgeführt werden. Es ist für Angreifer sonst ein Leichtes, über den infiltrierten Blog die Transaktionen zu kompromittieren.
Vor 5 Jahren sagtest Du, dass das Hauptproblem für Sysadmins die fehlende Kenntnis über die Möglichkeiten zu forensischen Untersuchungen in Linux Umgebungen ist. Hat sich das mittlerweile geändert?
Ich glaube, dass es immer noch ein Problem ist. Aber die Wurzel des Problems ist, dass im Vergleich zur Entwicklung neuer Systeme viel zu wenig Zeit für die Sicherheit der gesamten Umgebung geplant wird. Auch wird zu wenig Zeit geplant, um die Mitarbeiter zu Sicherheitsaspekten weiterzubilden. Es ist natürlich nichts Neues, dass die Sicherheit nur als Aufwand oder Kostenpunkt gesehen wird. Das ist kein Linux-spezifisches Problem. Aber der Aufwand würde sich schlagartig rentieren, wenn doch mal ein Zwischenfall auftritt.
Wenden wir uns nun Deinem bevorstehenden Workshop auf der RSA Conference zu. Kannst Du uns einen kleinen Vorgeschmack darauf geben, was die Teilnehmer erwartet?
Ich bin zum ersten Mal auf der RSA. Ich werde sowohl interessante, technische Hands-on Workshops, als auch eine Präsentation am Donnerstag zeigen.
Der Workshop steht jedem während der gesamten RSA-Woche offen. Teilnehmer brauchen nur einen Computer mit einem Web-Browser, den OpenVPN Client und einen SSH Client. Der Workshop ist so konzipiert, dass er einer realen Situation so nah wie möglich kommt: Der Server wird aktiv durch einen anfälligen Service kompromittiert, die Malware kommuniziert mit den C&C-Server und manches mehr. Besuchen Sie uns einfach am ESET Stand, um sich beim Workshop anzumelden.
Meine Präsentation am Donnerstag fasst Linux-Tools zusammen, die allgemein zur Verfügung stehen und bei der Untersuchung eines Vorfalls genutzt werden können. Es ist wichtig zu wissen, welche Daten und Metadaten verfügbar sind und wie diese zu bewerten und zu analysieren sind. Ich erkläre, welche Tools in echten Vorfällen, an denen wir gearbeitet haben, nützlich sind.
Danke, Marc-Etienne!