Impressum | Datenschutz | Hinweisgebersystem (HinSchG)
All Rights Reserved. WK IT GmbH
Wie kommt die Schadsoftware in das Linux-System?
Nachdem wir uns in unserem letzten Blogpost mit der Schadsoftware im Linux-Umfeld beschäftigt haben, widmen wir uns dieses Mal der Thematik, wie die Schadsoftware ins Linux-System gelangt.
Klassischerweise gibt es fünf verschiedene Vorgehensweisen, um ein Linux-System mit Schadsoftware zu infizieren. Auch wenn wir uns hier explizit auf Linux beziehen, können diese Vorgehensweisen natürlich auch im Windows-Umfeld Anwendung finden.
Brute-Force Attacken
Brute Force Attacken gehören zu den prominentesten Methoden. Lose übersetzt, kann man auch von der Brechstangenmethode sprechen. Ziel der Brute Force Attacke ist es, Benutzername und Passwort zu erraten. Hierfür werden Wörterlisten generiert und mithilfe von speziellen Programmen durchprobiert (Trial and Error). Diese Methode ermöglicht unter bestimmten Voraussetzungen das Ausprobieren von mehreren tausend Einträgen pro Sekunde und führt bei schwachen Passwörtern schnell und einfach zum Ziel.
SQL-Injections (Infiltrierung über Datenbankdienste)
Bei SQL Injections verschafft sich der Hacker über eine Webseite Zugriff auf die dahinterliegende Datenbank und greift so Daten ab. SQL Injections eignen sich folglich nur dann, wenn im Hintergrund eine Datenbank vorhanden ist, wie beispielsweise bei einem Onlineshop. Voraussetzung für die SQL Injection ist, wie der Name bereits vermuten lässt, dass die Dateneingabe auf der Sprache SQL beruht. Der Hacker geht wie folgt vor: Er gibt die SQL-Befehle in ein Eingabefeld für Nutzerdaten ein und diese Befehle werden dann in der Datenbank ausgeführt.
Command-Injections (siehe z. B. Log4j)
Command Injections können besonders dann zu einer Gefahr werden, wenn Systeme nicht regelmäßig gewartet und gepatched werden. Der Hacker kann dann beliebige Befehle auf einem operativen System ausführen, indem Anwendungsschwachstellen gezielt ausgenutzt werden, um über diese den Schadcode einzuschleusen. Eine solche Schwachstelle kann beispielsweise eine unzureichende Eingabevalidierung sein, über die der Code injiziert werden kann.
Directory Traversal
Der Klassiker bei Webservern! Der Hacker verschafft sich Zugriff auf Verzeichnisse, die ein normaler Benutzer eigentlich nicht sehen sollte. Normalerweise sollten diese Ordner und Unterordner und ihre enthaltenen Daten vor einem Zugriff von außerhalb geschützt sein. Sicherheitslücken oder fehlerhafte Konfigurationen in Webservern sowie Webanwendungen ermöglichen es Hackern allerdings, durch Eingabe von URLs auf Dateien und Verzeichnisse außerhalb des Webseitenverzeichnisses zuzugreifen.
Cross-Site-Scripting (XSS)
Ebenfalls ein Klassiker ist das Cross Site Scripting. Dieses findet in der Webentwicklung Anwendung. Es zeichnet sich dadurch aus, dass versucht wird, einen Code auf einer Webseite einzuschleusen und an das Opfer auszuliefern. In harmlosen Fällen können das Popups sein. Es ist aber auch möglich, dass Sessions geklaut oder fremder Code injiziert wird.
Aber was kann man tun, dass das eigene Linux-System nicht infiziert wird?
Einen hundertprozentigen Schutz vor unerlaubten Zugriff gibt es leider nicht. Das regelmäßige Einspielen von Updates und Sicherheitspatches in Systeme sowie die Verwendung starker Passwörter trägt aber schon einmal grundliegend zur Erhöhung des Sicherheitsniveaus eines Systems bei.
Gegen die Platzierung und Ausführung von Schadcode auf einem System kann auch die Verwendung einer Endpoint Protection Lösung Abhilfe schaffen. Solche Softwareprodukte sind im Windows-Umfeld bereits lange etabliert und gehören mittlerweile zu den Standardlösungen in Enterprise Umgebungen. Die Verwendung von Endpoint Protection im Linux-Kontext ist allerdings noch vergleichsweise wenig verbreitet. Durch den starken Anstieg von Linux-Systemen im Bereich Public Cloud gewinnt das Thema der Absicherung solcher Systeme allerdings zunehmend an Bedeutung und immer mehr Unternehmen erkennen, dass hier ein sinnvoller Beitrag zum Schutz der IT-Infrastruktur geleistet werden kann.
Überlegen auch Sie, Ihre Linux-Systeme mithilfe einer Endpoint Protection Lösung vor Angriffen zu schützen?
