- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Malware für Linux wird aggressiver


Absicherung von Linux-Servern wird zur Pflicht
Neue Linux-Malware hat Anti-Sandbox-Funktion und nimmt IoT-Geräte ins Visier



Malware hat offenbar endgültig auch Linux ins Visier genommen: Seit Januar ist bereits bekannt, dass die Ransomware KillDisk es auf Linux-Systeme abgesehen hat. Betroffen sind nicht nur Workstations, sondern auch Server. Jetzt haben Forscher von Palo Alto Networks die erste Linux-Malware entdeckt, die sich gegen Sandboxes wehren kann. Und auch die Sicherheitsforscher von Radware haben schlechte Nachrichten: BrickerBot hat es auf IoT-Geräte abgesehen und macht befallene Geräte funktionsunfähig.

"Diese Nachrichten zeigen, dass Malware auch unter Linux ein großes Thema ist. Wenngleich Ubuntu aufgrund seiner Systemarchitektur weniger gefährdet ist – das System ist sinnvoll und sicher aufgebaut – als Windows Server, ist es jedoch nicht immun gegen Malware", fasst Christian Heutger, Geschäftsführer der PSW Group, zusammen. "Auch unter Ubuntu Server sitzt das größte Sicherheitsrisiko vor dem Gerät, nämlich der Anwender selbst. Das Thema Virenscanner und/ oder Firewall sollte deshalb keinesfalls auf die leichte Schulter genommen werden", so der IT-Sicherheitsexperte weiter.

Immerhin: Aufgrund der Notwendigkeit, administrative Rechte erst anzufordern und dann zu bestätigen, können Angreifer keine Systemübernahmen bewirken. Und: Für Linux existieren kaum Viren. Eine Antiviren-Lösung ist dennoch nötig, denn Proof-of-concept-Viren können genauso ihr Unwesen treiben wie Windows-Viren auf einem Linux-System.

"Auch Ransomware arbeitet bei Linux-Systemen anders als unter Windows. Die Verschlüsselungsmeldung wird unter Linux im GRUB-Bootloader ausgegeben. Beim Ausführen der Malware werden die Bootloader-Einträge überschrieben und der Löschungstext angezeigt", erklärt Christian Heutger. Lösegeldforderungen nachzukommen, bringt jedoch rein gar nichts. Die Verschlüsselungsschlüssel werden nicht lokal noch auf Servern gespeichert, eine Entschlüsselung ist also gar nicht möglich. Der einzige Vorteil gegenüber Windows: Eine Schwäche in der Verschlüsselung der Linux-Version von KillDisk erlaubt das Wiederherstellen von Daten, was jedoch enorm aufwendig ist. Unter Windows gilt dies nicht. "Der Fall KillDisk zeigt aber, dass auch Linux-Server zwingend mit einer effizienten und zuverlässigen Security-Lösung auf dem neuesten Stand gehalten werden müssen. Zusätzlich rate ich auch zu Backups auf externen Speichermedien", so Heutger.

Neue Linux-Malware im April 2017: Anti-Sandbox-Funktion und IoT-Geräte im Visier
Auch andere Linux-Malware Typen zeigen, dass es inzwischen Bedrohungen gibt, die die weitgehend sichere Architektur von Linux umgehen können. So beispielsweise Amnesia. Die von Palo Alto Networks entdeckte Linux-Malware erkennt virtuelle Maschinen und kann diese löschen. Anschließend löscht sie sich selbst und hinterlässt somit keine Spuren. Amnesias Entdecker ordnen sie der Linux-Malware Tsunami zu, mit der gleichnamige IoT-Botnets aufgebaut werden. Anfällige Systeme werden durch Remote-Code-Ausführung übernommen, wodurch ein Botnet für DoS-Angriffe genutzt werden kann.

Neu ist auch die IoT-Malware BrickerBot. Wie die Sicherheitsforscher von Radware mitteilen, scannt der Schädling das Web gezielt nach Linux-basierten Routern und anderen Geräten, die lediglich via Default-Passwort ("Factory-Passwort") gesichert sind. Spürt der Bot ein solches Gerät auf, sorgen verschiedene Kommandos für das Löschen sämtlicher Dateien auf dem Gerät. Die Internet-Verbindung wird getrennt, der Speicher korrumpiert. Eine Reparatur lohnt sich aus Kostengründen bei günstigen Consumer-Geräten kaum. "Die Variante BrickerBot 2 ist noch zerstörerischer als Variante 1 und greift auch Server an. Zwar ähnelt diese Malware Amnesia, jedoch möchte Amnesia keine Hardware zerstören, sondern ein Botnet aufbauen", erklärt Christian Heutger und ergänzt: "Der Schutz gegen BrickerBot ist übrigens recht einfach: Default-Passwörter sollten geändert werden."

Tipps vom Sicherheitsexperten
KillDisk, Amnesia und BrickerBot gemein ist, dass sie Linux einzige "echte" Schwachstelle ausnutzen: den User. Mit einer effizienten Sicherheitsstrategie und gesundem Menschenverstand, mit dessen Hilfe etwa Passwörter regelmäßig gewechselt und Backups angelegt werden, lässt sich unter Linux sehr sicher agieren. Denn Ubuntu Server lassen sich mit einigen Handgriffen, den Abwehrmechanismen der Ubuntu-Bordmittel sowie einer guten Security Suite, die neben Malware auch Spyware abwehrt, wirkungsvoll gegen Attacken absichern. "Fernzugriffe sind unter Ubuntu Server via SSH-Server übrigens sicher zu realisieren, da sämtliche Login-Informationen, inklusive Passwort, dann verschlüsselt übertragen werden. Das Aufsetzen eines SSH-Servers gestaltet sich zudem einfach. Auf dem jeweiligen Rechner muss lediglich das openssh-server-Paket installiert werden. Anschließend startet auch schon der SSH-Server", gibt Christian Heutger noch einen Hinweis.

Übrigens: Auch unter Ubuntu ist es relevant, wer, wann und warum auf welche Daten des Servers zugreift. So sollten beispielsweise Mitarbeiter lediglich auf die Informationen Zugriff haben, die sie zur Arbeit benötigen. Das dient sowohl dem Datenschutz, als auch der Sicherheit: "Es macht keinen Sinn, Mitarbeiter auf Daten zugreifen zu lassen, die für sie nicht relevant sind. Führt dieser Zugriff aus Unwissenheit dann noch zu einem Datenverlust, ist die Katastrophe perfekt", so Heutger über die Konsequenzen. Er verweist darauf, dass sich Zugriffsrechte zügig mit den vorhandenen Bordmitteln einrichten lassen. Sowohl das Bearbeiten ganzer Gruppen als auch das einzelner User ist schnell umgesetzt. (PSW Group: ra)

eingetragen: 14.05.17
Home & Newsletterlauf: 31.05.17


PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.