Impressum | Datenschutz | Hinweisgebersystem (HinSchG)
All Rights Reserved. WK IT GmbH
Unsere Top 5 Schadsoftware im Linux Umfeld
Die Tage, an denen Linux Systeme nicht zum Ziel von Hackerangriffen werden, sind schon lange vorbei. Das IT-Sicherheitsunternehmen Crowdstrike meldete im Jahr 2021 eine Zunahme von Linux-Malware um 35 Prozent im Vergleich zu 2020. Der Grund dafür ist so simpel wie einleuchtend. Die Angreifenden, die zumeist über Webserver attackieren, haben mittlerweile erkannt, dass ein kompromittiertes Linux-System sehr rentabel ist.
Aber fangen wir einmal ganz vorne an und schauen uns an, welche Schadsoftware es eigentlich im Linux-Umfeld gibt.
Unsere Top 5 der Linux Schadsoftware:
1. Cryptomining-Software
Cryptomining Software ist der harmloseste Vertreter in unserer Top 5. Dennoch erfreut sich das sogenannte "Cryptojacking" unter kriminellen Hackern einer immer größeren Beliebtheit. Hierbei wird eine Cryptomining-Software auf einem fremden Rechner eingeschleust, um ohne das Wissen des Users Kryptowährungen zu erzeugen.
Sobald der Angreifer es schafft, die Cryptomining Software im Cloud-Umfeld zu installieren, ist das "Cryptojacking" besonders lukrativ. Der Hacker erhält durch dieses Vorgehen Zugriff auf eine große Menge an Rechenressourcen und kann die fremde Rechenleistung unentgeltlich für seine Zwecke nutzen.
Zwar ist diese Methode sowohl im Linux- als auch im Windowsumfeld populär, Linux ist allerdings attraktiver für die meisten Hacker, da viele Cloud-Ressourcen Linux-basiert sind.
2. Webshells
Webshells sind im Linux-Umfeld besonders interessant, da viele Webserver unter Linux betrieben werden. Diese können mithilfe einer Webshell gezielt angegriffen werden. Im Regelfall geschieht dies über Schwachstellen in der Webanwendung. Die Webshell, die nichts weiter als eine virtuelle Kommandozeile ist, ermöglicht es dem Hacker auf Daten innerhalb des Webservers zuzugreifen und Befehle auszuführen. Schlussendlich verfügt die Webshell über alle Berechtigungen, die der Benutzer, unter dessen Kontext der Webserver läuft, auch hat.
Webshells sind schon deutlich verheerender als die vorher erwähnte Cryptomining Software. So gelten sie gemeinhin als Meister der Tarnung. In der Code-Datei des Angriffsziels versteckt, wird die Bedrohung häufig nicht entdeckt.
3. Ransomware
Ransomware ist Schadsoftware, die Systeme und Datenbanken sperrt oder verschlüsselt. Die Freigabe der Daten erfolgt meist erst nach Zahlung einer Lösegeldforderung.
Ransomware ist besonders aus dem Windows-Umfeld bekannt, da sie hier sehr häufig auftritt. Mittlerweile ist sie aber auch im Linux-Umfeld immer mehr ein Begriff. Linux-Systeme sind für Angriffe per Ransomware lukrativ, da sie oft kritische Datensätze wie Datenbanken enthalten und ein Verlust solcher Daten immensen Schaden verursacht. Des Weiteren können Linux Systeme auch als Ausgangspunkt für die Infizierung weiterer (oft dann auch Windows-basierter) Systeme missbraucht werden.
Einige Beispiele für bekannte Linux-Ransomware sind RansomExx, SFile sowie Escal.
4. Rootkits
Rootkits sind eine Sammlung von Softwaretools, die verdächtige Aktivitäten verstecken und schwer zu finden sind. Schädliche oder unerwünschte Software bleibt so von den Opfern unentdeckt.
Linux-Instanzen lassen sich mit Rootkits infiltrieren. Auch in diesem Fall werden die Instanzen als perfekter Ausgangspunkt bzw. Sprungserver genutzt, um von dort aus andere Systeme anzugreifen und sich so im Netzwerk weiter zu bewegen.
Im Regelfall installiert der Angreifer auch eine Backdoor (Hintertüre) im System. Diese ermöglicht jederzeit einen Zugriff auf den Server des Opfers, sogar dann, wenn die ursprünglichen Schwachstellen eines infiltrierten Systems zwischenzeitlich durch einen Admin behoben wurden. Durch die eingebaute Hintertüre kann sich der Hacker jederzeit wieder auf das System verbinden und sich Zugriff verschaffen. Die Admins sind derweil vollkommen ahnungslos, dass das System weiterhin gehackt wird.
5. Bösartige Skripte
Ein Skript ist eine kurze Abfolge von Befehlen, die von einem Programm bspw. einer Serveranwendung ausgeführt werden. Sie dienen vor allem der Automatisierung von Prozessen. Dies allein macht sie noch zu keiner Bedrohung. Allerdings können Hacker Skripte verwenden, um Angriffe gegen andere Systeme durchzuführen.
So können bösartige Skripte beispielsweise im Kontext eines Command and Control Servers (C&C) genutzt werden. Ein C&C Server ist ein Steuerserver für Angriffe. Mithilfe des C&C Servers werden die Skripte mit Anweisungen an infizierte Bots verteilt. Solche Bot-Netzwerke werden dann genutzt, um bspw. DDoS-Angriffe (Distributed Denial-of-Service) durchzuführen.
Ein bekanntes Botnetzwerk ist Mirai (Japanisch für „Zukunft“), welches zum größten Teil aus Linux-basierten Internet-of-Things (IoT)-Geräten besteht.
