Absicherung von Linux-Servern wird zur Pflicht. Neue Linux-Malware hat Anti-Sandbox-Funktion und nimmt IoT-Geräte ins Visier.
Malware hat offenbar endgültig auch Linux ins Visier genommen: Seit Januar ist bereits bekannt, dass die Ransomware KillDisk es auf Linux-Systeme abgesehen hat. Betroffen sind nicht nur Workstations, sondern auch Server. Jetzt haben Forscher von Palo Alto Networks die erste Linux-Malware entdeckt, die sich gegen Sandboxes wehren kann. Und auch die Sicherheitsforscher von Radware haben schlechte Nachrichten: BrickerBot hat es auf IoT-Geräte abgesehen und macht befallene Geräte funktionsunfähig.
»Diese Nachrichten zeigen, dass Malware auch unter Linux ein großes Thema ist. Wenngleich Ubuntu aufgrund seiner Systemarchitektur weniger gefährdet ist – das System ist sinnvoll und sicher aufgebaut – als Windows Server, ist es jedoch nicht immun gegen Malware«, fasst Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de), zusammen. »Auch unter Ubuntu-Server sitzt das größte Sicherheitsrisiko vor dem Gerät, nämlich der Anwender selbst. Das Thema Virenscanner und/ oder Firewall sollte deshalb keinesfalls auf die leichte Schulter genommen werden«, so der IT-Sicherheitsexperte weiter.
Immerhin: Aufgrund der Notwendigkeit, administrative Rechte erst anzufordern und dann zu bestätigen, können Angreifer keine Systemübernahmen bewirken. Und: Für Linux existieren kaum Viren. Eine Antiviren-Lösung ist dennoch nötig, denn Proof-of-concept-Viren können genauso ihr Unwesen treiben wie Windows-Viren auf einem Linux-System.
»Auch Ransomware arbeitet bei Linux-Systemen anders als unter Windows. Die Verschlüsselungsmeldung wird unter Linux im GRUB-Bootloader ausgegeben. Beim Ausführen der Malware werden die Bootloader-Einträge überschrieben und der Löschungstext angezeigt«, erklärt Christian Heutger. Lösegeldforderungen nachzukommen, bringt jedoch rein gar nichts. Die Verschlüsselungsschlüssel werden nicht lokal noch auf Servern gespeichert, eine Entschlüsselung ist also gar nicht möglich. Der einzige Vorteil gegenüber Windows: Eine Schwäche in der Verschlüsselung der Linux-Version von KillDisk erlaubt das Wiederherstellen von Daten, was jedoch enorm aufwendig ist. Unter Windows gilt dies nicht. »Der Fall KillDisk zeigt aber, dass auch Linux-Server zwingend mit einer effizienten und zuverlässigen Security-Lösung auf dem neuesten Stand gehalten werden müssen. Zusätzlich rate ich auch zu Backups auf externen Speichermedien«, so Heutger.
Neue Linux-Malware im April 2017: Anti-Sandbox-Funktion und IoT-Geräte im Visier.
Auch andere Linux-Malware-Typen zeigen, dass es inzwischen Bedrohungen gibt, die die weitgehend sichere Architektur von Linux umgehen können. So beispielsweise Amnesia. Die von Palo Alto Networks entdeckte Linux-Malware erkennt virtuelle Maschinen und kann diese löschen. Anschließend löscht sie sich selbst und hinterlässt somit keine Spuren. Amnesias Entdecker ordnen sie der Linux-Malware Tsunami zu, mit der gleichnamige IoT-Botnets aufgebaut werden. Anfällige Systeme werden durch Remote-Code-Ausführung übernommen, wodurch ein Botnet für DoS-Angriffe genutzt werden kann.
Neu ist auch die IoT-Malware BrickerBot. Wie die Sicherheitsforscher von Radware mitteilen, scannt der Schädling das Web gezielt nach Linux-basierten Routern und anderen Geräten, die lediglich via Default-Passwort (»Factory-Passwort«) gesichert sind. Spürt der Bot ein solches Gerät auf, sorgen verschiedene Kommandos für das Löschen sämtlicher Dateien auf dem Gerät. Die Internet-Verbindung wird getrennt, der Speicher korrumpiert. Eine Reparatur lohnt sich aus Kostengründen bei günstigen Consumer-Geräten kaum. »Die Variante BrickerBot 2 ist noch zerstörerischer als Variante 1 und greift auch Server an. Zwar ähnelt diese Malware Amnesia, jedoch möchte Amnesia keine Hardware zerstören, sondern ein Botnet aufbauen«, erklärt Christian Heutger und ergänzt: »Der Schutz gegen BrickerBot ist übrigens recht einfach: Default-Passwörter sollten geändert werden.«
Tipps vom Sicherheitsexperten.
KillDisk, Amnesia und BrickerBot gemein ist, dass sie Linux einzige »echte« Schwachstelle ausnutzen: den User. Mit einer effizienten Sicherheitsstrategie und gesundem Menschenverstand, mit dessen Hilfe etwa Passwörter regelmäßig gewechselt und Backups angelegt werden, lässt sich unter Linux sehr sicher agieren. Denn Ubuntu-Server lassen sich mit einigen Handgriffen, den Abwehrmechanismen der Ubuntu-Bordmittel sowie einer guten Security Suite, die neben Malware auch Spyware abwehrt, wirkungsvoll gegen Attacken absichern. »Fernzugriffe sind unter Ubuntu-Server via SSH-Server übrigens sicher zu realisieren, da sämtliche Login-Informationen, inklusive Passwort, dann verschlüsselt übertragen werden. Das Aufsetzen eines SSH-Servers gestaltet sich zudem einfach. Auf dem jeweiligen Rechner muss lediglich das openssh-server-Paket installiert werden. Anschließend startet auch schon der SSH-Server«, gibt Christian Heutger noch einen Hinweis.
Übrigens: Auch unter Ubuntu ist es relevant, wer, wann und warum auf welche Daten des Servers zugreift. So sollten beispielsweise Mitarbeiter lediglich auf die Informationen Zugriff haben, die sie zur Arbeit benötigen. Das dient sowohl dem Datenschutz, als auch der Sicherheit: »Es macht keinen Sinn, Mitarbeiter auf Daten zugreifen zu lassen, die für sie nicht relevant sind. Führt dieser Zugriff aus Unwissenheit dann noch zu einem Datenverlust, ist die Katastrophe perfekt«, so Heutger über die Konsequenzen. Er verweist darauf, dass sich Zugriffsrechte zügig mit den vorhandenen Bordmitteln einrichten lassen. Sowohl das Bearbeiten ganzer Gruppen als auch das einzelner User ist schnell umgesetzt.
Weitere Informationen unter: https://www.psw-group.de/blog/fruehjahrsputz-ubuntu-server/4281
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.
Verschärfte IT-Sicherheitslage: 2016 vermehrt Angriffe auf Linux und Mac OS
Ubuntu ist angreifbar: IT-Sicherheitsexperte rät zur Absicherung der Linux-Server
Cost of Public Cloud Linux Highly Competitive with Internal IT
Report zur IT-Sicherheit: Rekordhöhe an Datenlecks und Schwachstellen in 2016