Cyberbedrohungen
Bedrohungen sowie Schutz für Linux-Umgebungen, Teil 2
Cyberkriminelle richten ihre Aufmerksamkeit und Ressourcen auf Linux-Zielumgebungen mit ihren entsprechenden Schwachpunkten. Welches sind die größten Risiken für diese Plattformen?
Originalartikel von Magno Logan, Pawan Kinger
Wie jede andere Software ist auch Linux nicht frei von sicherheitsrelevanten Bedrohungen und Risiken. Doch da Linux mittlerweile als eines der mächtigsten Betriebssysteme auf Cloud-Plattformen und Servern weltweit vorherrschend ist, haben die Risiken, die durch die Bedrohungen entstehen, einen anderen Stellenwert als noch vor Jahren. Im ersten Teil des Beitrags wurden die Probleme mit Schwachstellen, Fehlkonfigurationen und deren möglichen Folgen vorgestellt. Mittlerweile finden sich auf diesen Systemen auch alle bekannten Malware-Arten, wie Ransomware, Kryptowährungs-Miner, Rootkits für User- und Kernel-Mode, Würmer, Trojaner, Backdoors oder Remote Access Trojans (RATs).
Die Motivation für die Angriffe ist dieselbe wie für alle anderen: finanzielle Gewinne, Spionage, Sabotage, Hacktivism oder einfach das Bedürfnis zu beweisen, dass die Systeme kompromittiert werden können.
Ransomware
Ransomware stellt die bei weitem erfolgreichste Malware-Kategorie dar, mit deren Hilfe Cyberkriminelle Millionen Dollar an Gewinnen erzielen. Angesichts der großen Verbreitung von Linux ist das Betriebssystem ein lukratives Ziel. Bekannte Familien sind RansomEXX/Defray777 mit den Tools RansomEXX, Cobalt Strike, Metasploit und dem Vatet Loader sowie Erebus. Details zu den beiden Familien enthält der Originalbeitrag.
Kryptowährungs-Miner
Ein relativ neuer Beweggrund für Angreifer besteht darin, Computerressourcen zu infiltrieren und zu missbrauchen, um Kryptowährung zu schürfen. Cyberkriminelle können das Mining von Kryptowährungen, eine extrem ressourcenintensive Aktivität, missbrauchen, indem sie Geräte und Systeme mit bösartigen Minern infizieren, um Ressourcen von ihren Opfern zu stehlen.
Es herrscht ein erbitterter Kampf um Ressourcen, und eine Linux Krypto-Mining Malware kann weitere Mining-Malware auf der infizierten Maschine zerstören, über die Ausnutzung von Sicherheitslücken beliebigen Code ausführen, Brute-Force-Angriffe fahren oder exponierte Service APIs missbrauchen. Coinminer.Linux.MALXMR.SMDSL64 etwa nutzt bekannte Schwachstellen aus wie SaltStack Authorization Bypass (CVE-2020-11651) und SaltStack Directory Traversal (CVE-2020-11652), so die Daten des Trend Micro™ Smart Protection Network™. Weitere Einzelheiten beinhaltet der Originalbeitrag.
Bösartige Skripts
Shell Skripts sind auch bei Unix-Programmierern beliebt, weil sie damit mehrere Befehle in einer einzigen Embedded Datei ausführen können. Cyberkriminelle missbrauchen sie, weil es einfacher ist, ein bösartiges Skript einzuschleusen als kompilierte Malware zu verwenden. Auch sind sie einfacher hochzuladen als Textdateien, es ist weniger wahrscheinlich, dass sie erkannt werden, sie können im laufenden Betrieb erstellt werden und sind zudem kleiner.
Auf dem Ziel-Host werden sie an einem sicheren Ort, z. B. im Ordner /tmp, ausgeführt, wo sie nicht markiert werden können. Im Allgemeinen führen diese Skripte von sich aus nichts Bösartiges aus, obwohl sie sich mit dem Command-and-Control-Server (C&C) verbinden, um Malware herunterzuladen.
Webshells und Backdoors
Eine Webshell ist ein Skript, das ein Angreifer in einem Webserver ablegt, wo es entweder beim Ausführen von Befehlen hilft oder einfach direkten Zugang zu kompromittierten Systemen verschaffen soll. Im August 2020 fanden die Sicherheitsforscher Ensiko, eine PHP-Webshell, die auf Linux, Windows, macOS oder jede andere Plattform abzielt, auf der PHP installiert ist. Mit dieser Malware-Variante können Angreifer nicht nur Code aus der Ferne ausführen, sondern auch Shell-Befehle und Websites verunstalten.
Cyberkriminelle setzen auch Backdoors ein, um sich Zugang zu kritischen Systemen zu verschaffen. Ein Beispiel ist Backdoor.Linux.KINSING.A, ein Golang-basierter Linux-Agent, der nach fehlkonfigurierten Docker Daemon API-Ports sucht, um einen Ubuntu-Container auszuführen.
Rootkits
Rootkits sind persistente Bedrohungen, die darauf ausgerichtet sind, schwer entdeckt zu werden. Ihr Hauptzweck ist es, sich selbst und andere Malware vor Administratoren, Analysten und Nutzern einerseits und vor Scanning, forensischen und System-Tools andererseits versteckt zu halten. Sie können auch eine Backdoor öffnen oder einen C&C-Server nutzen, um einem Angreifer die Möglichkeit zu geben, eine betroffene Maschine auszuspionieren und zu kontrollieren.
Zu den gefährlichsten Rootkits gehören Umbreon, Drovorub und Diamorphine. Technische Details dazu liefert der Originalbeitrag.
Sicherheitsempfehlungen für Linux-Systeme
Um Linux-Systeme sicher betreiben zu können, sollten die folgenden Empfehlungen beachtet werden:
- Einsetzen von Infrastructure as Code (IaC)-Vorgehensweisen, um sicherzustellen, dass Systeme korrekt erstellt werden und die Konfiguration so funktioniert, wie ursprünglich gedacht.
- Befolgen des Prinzips der Mindestprivilegien und des Shared Responsibility Models.
- Übersicht oberste Priorität geben. Alle Geräte, Systeme und Netzwerke überwachen.
- Standard-Passwörter mit starken ersetzen und zusätzlich Multifaktor-Authentifizierung in Erwägung ziehen.
- Regelmäßiges Patchen und Updaten der Systeme.
Trend Micro-Lösungen
Die umfassende XDR-Lösung von Trend Micro wendet die effektivsten Expertenanalysen auf die Deep Data-Sets an, die die Trend Micro-Lösungen unternehmensweit sammeln, und stellt so schnellere Verbindungen her, um Angriffe zu identifizieren und zu stoppen. Leistungsstarke künstliche Intelligenz (KI) und fachkundige Sicherheitsanalysen korrelieren Daten aus Kundenumgebungen und aus der globalen Bedrohungsdatenbank von Trend Micro, um weniger, aber präzisere Alarme zu liefern, die zu einer besseren, frühzeitigen Erkennung führen. Eine zentrale Konsole mit einer Quelle für priorisierte, optimierte Alarme, unterstützt durch geführte Untersuchungen, vereinfacht die Schritte zum vollständigen Verständnis des Angriffspfads und der Auswirkungen auf das Unternehmen.
Cloud-spezifische Sicherheitslösungen wie Trend Micro Hybrid Cloud Security können den Schutz Cloud-nativer Systeme mit ihren unterschiedlichen Layern unterstützen. Die Lösung wird von Trend Micro Cloud One™ ergänzt. Die Sicherheitsdienste-Plattform bietet automatisierten Schutz für Continuous Integration and Continuous Delivery (CI/CD)-Pipelines und Applikationen. Auch trägt sie zur schnelleren Erkennung und Lösung von Sicherheitsproblemen bei und verbessert die die Lieferzeit von DevOpsTeams. Cloud One beinhaltet:
- Workload Security: Schutz für Workloads zur Laufzeit
- Container Security: automatisiertes Scanning von Container Images und Registry
- File Storage Security: Sicherheit für Cloud Datei- und Object Storage Services
- Network Security: Sicherheit auf Cloud Netzwerkebene mit Intrusion Prevention System (IPS)
- Application Security: Sicherheit für serverlose Funktionen, APIs und Anwendungen
- Conformity: Sicherheit für Cloud-Infrastruktur in Echtzeit — sichern, optimieren, Richtlinien entsprechen.