Aktuelle Linux-Malware
Fadenscheinige Sicherheit
Veröffentlicht in Ausgabe 02/2025 - SCHWERPUNKT
Das Fehlen legendärer Malwareausbrüche à la WannaCry darf nicht darüber hinwegtäuschen, dass es auch in der Linux-Welt gefährliche Schadsoftware gibt. Allerdings unterscheidet sich die Struktur der Bedrohungslage deutlich von Windows. Angriffe auf Microsofts Betriebssystem zielen ob dessen weiter Verbreitung im Desktop-Sektor gern darauf, eine maximale Anzahl von Opfern zu generieren und so neben Aufmerksamkeit vor allem Einnahmen zu erzielen. Ob ein individueller User bezahlt, ist irrelevant – der Gewinn entsteht durch die Menge.
Linux hingegen ist auf Desktop-Rechnern nur selten anzutreffen. Anders sieht es beim Betrieb von Servern aus. Wie hoch der genaue Marktanteil hier ist, variiert zwar je nach Quelle und Region. Grob geschätzt ist jedoch davon auszugehen, dass rund zwei Drittel aller Server auf einem unixoiden Betriebssystem fußen. Besonders dominant zeigt sich dies im Bereich der Supercomputer – Linux läuft hier auf allen Top-500-Systemen.
Aus der Art der Verteilung von Linux-Software ergibt sich nicht zuletzt, dass das Betriebssystem für Supply-Chain-Attacken sehr attraktiv ist: Wer die Paketquellen von Ubuntu unterwandert, erfreut sich an einem sich automatisch verteilenden Virus. Experten wie die Forscher von SentinelOne führen die zunehmend Verbreitung in den letzten zwei Jahren darauf zurück [1], dass Cross-Platform-Programmierung durch Sprachen wie Rust oder Go erleichtert wurde.
Das Fehlen legendärer Malwareausbrüche à la WannaCry darf nicht darüber hinwegtäuschen, dass es auch in der Linux-Welt gefährliche Schadsoftware gibt. Allerdings unterscheidet sich die Struktur der Bedrohungslage deutlich von Windows. Angriffe auf Microsofts Betriebssystem zielen ob dessen weiter Verbreitung im Desktop-Sektor gern darauf, eine maximale Anzahl von Opfern zu generieren und so neben Aufmerksamkeit vor allem Einnahmen zu erzielen. Ob ein individueller User bezahlt, ist irrelevant – der Gewinn entsteht durch die Menge.
Linux hingegen ist auf Desktop-Rechnern nur selten anzutreffen. Anders sieht es beim Betrieb von Servern aus. Wie hoch der genaue Marktanteil hier ist, variiert zwar je nach Quelle und Region. Grob geschätzt ist jedoch davon auszugehen, dass rund zwei Drittel aller Server auf einem unixoiden Betriebssystem fußen. Besonders dominant zeigt sich dies im Bereich der Supercomputer – Linux läuft hier auf allen Top-500-Systemen.
Aus der Art der Verteilung von Linux-Software ergibt sich nicht zuletzt, dass das Betriebssystem für Supply-Chain-Attacken sehr attraktiv ist: Wer die Paketquellen von Ubuntu unterwandert, erfreut sich an einem sich automatisch verteilenden Virus. Experten wie die Forscher von SentinelOne führen die zunehmend Verbreitung in den letzten zwei Jahren darauf zurück [1], dass Cross-Platform-Programmierung durch Sprachen wie Rust oder Go erleichtert wurde.
Linux-Server für Ransomware attraktiv
Aus der Dominanz von Linux im Serverbereich folgt, dass auch Ransomware-Akteure auf der Suche nach dem großen Geld immer mehr Aufmerksamkeit in das freie Betriebssystem investieren. Nicht zuletzt der Durchbruch von Kryptowährungen hat Ransomware zu einem lukrativen Geschäft gemacht – diese Form der Erpressung ist im Lauf der letzten Jahre zur am schnellsten wachsenden Art der Cyberkriminalität geworden.
Während Windows-Ransomware im Allgemeinen in Form eines ausführbaren Attachments auf den Rechner kommt, gehen Linux-Angreifer kompliziertere Wege. So erfolgt der initiale Angriff in den meisten Fällen unter Nutzung unsicher konfigurierter öffentlicher Server. Das regelmäßige Abscannen und Prüfen der eigenen Umgebung von außen ist deshalb ein guter erster Schritt, um Hackern das Leben zu erschweren.
Maßnahme Nummer zwei – unter Linux fast noch wichtiger als unter Windows – besteht darin, Systeme so aktuell wie möglich zu halten. Ist dies nicht möglich, so gilt es, empfindliche Dienste hinter einem VPN zu verstecken. Und spätestens wenn Schwachstellen (Common Vulnerabilities and Exposures, CVE) einmal veröffentlicht sind, sollten Admins schnellstens versuchen, den relevanten Dienst auf den aktuellen Stand zu bringen. Die US-Regierungsorganisation CISA pflegt unter [2] eine Liste von CVEs, für die in freier Wildbahn Exploits zur Verfügung stehen.
Verbreitete Ransomware-Varianten
Ein unter [3] zusammengefasster Report von Trend Micro führt die fünf schädlichsten Ransomware-Varianten auf. Manche davon nehmen nur Windows-Systeme ins Visier. Der prominenteste Linux-Verweigerer auf der Liste ist StopCrypt – diese Ransomware hat die hauseigene Finanzstruktur auf das Eintreiben von Kleinstsummen von Endanwendern spezialisiert. Und da diese ihre Daten meist nicht auf einem Linux-Server lagern, sind diese Systeme für diese Gang nicht als Ziel attraktiv. Auch die hinter Phobos stehenden Angreifer verschonen Linux-Systeme meist – ihr primärer Einfallsvektor ist RDP, das unter Linux nicht nennenswert zum Einsatz kommt. Der Ausschluss ist aber rein technisch begründet und spricht nicht gegen allgemeines Interesse an der Ausnutzung unixoider Zielsysteme.
Und so ist LockBit derweil einer der ältesten Player im Bereich der Linux-Malware. Die erste Linux-fähige Version erschien bereits im Jahr 2022 [4]. Das Zielen auf unixoide Hosts ist nicht verwunderlich, da die anvisierte Ausbreitungsumgebung ESXi-Server sind. Die Macher der im asiatischen Raum verbreiteten Ransomware TargetCompany [5] fühlten sich von den Erfolgen von LockBit animiert, ebenfalls mit ESXi zu experimentieren. Ihre Variante erschien 2024, verhält sich aus technischer Sicht aber ähnlich zum großen Vorbild. Die Malwarefreunde aus dem Haus Akira bieten ähnlichen Funktionsumfang seit dem Jahr 2023.
Die Fokussierung auf VMware ist wohl weniger mit Ärger über die Lizenzpraktiken seit der Übernahme durch Broadcom verbunden. Malwareanalysten begründen dies damit, dass die bereits 2021 entdeckte Babuk-Malware [6, 7] ein diesbezügliches Modul mitbrachte. Da Ransomware-Akteure schamlos von ihren Konkurrenten kopieren, ist die Fixierung auf VMware ESXi mit höchster Wahrscheinlichkeit auf diesen Schädling zurückzuführen.
Untergrund-Ökonomen kapern Rechenleistung
Den Virenprogrammierern der ersten Stunde ging es Anfang der Neunziger vor allem um den Ruhm – Schädlinge wie "Den Zuk" fokussierten auf Verbreitung und das Anzeigen eines lästig-lustigen Monitorbilds. Finanzielle Gewinne hatten die Programmierer zur damaligen Zeit nicht im Fokus. Das hat sich mittlerweile geändert: Eine der Realitäten moderner Computersicherheit ist, dass Entwickler von Malware heute fast immer ein kommerzielles Motiv verfolgen.
Primärer Weg zur Generierung von Einnahmen ist das Bereitstellen von DDoS-Dienstleistungen. Hierzu ist vor allem hohe Bandbreite erforderlich, weshalb die im nächsten Abschnitt besprochenen IoT-Würmer in diesem Bereich besondere Aktivität entwickeln. Bei der Ausnutzung gekaperter Großserver liegt der Fokus auf dem Mining von Kryptowährungen. Der unter [3] bereits erwähnte Report von Trend Micro berichtet etwa von einem Angriff auf unsicher konfigurierte Docker-Server. Nachdem Hacker ein solches System ausfindig gemacht hatten, statteten Sie es mit Cryptomining-Containern aus.
Auch wenn das Mining von Kryptowährungen mit reiner CPU-Leistung nicht mehr so profitabel ist wie einst – die Energiekosten trägt stets der angegriffene Besitzer des Servers, während die minimalen erwirtschafteten Werte in die Habe des Angreifers übergehen. Wer sich genauer mit der Ökonomie des Cryptominings beschäftigen möchte, dem sei der Rentabilitätsrechner von NiceHash [8] empfohlen. Mit seiner Hilfe lässt sich der potenzielle Gewinn schätzen, indem die Hashrate oder die zur Verfügung stehenden Geräte eingegeben werden.
Chromebooks vergleichsweise sicher
Ein Weg, über den Linux den Sprung auf den Desktop schaffen könnte, sind Chromebooks. Laut Google hat es Stand April 2024 keine erfolgreichen Attacken auf Chrome OS gegeben. Der US-Konzern wirbt damit, dass das Betriebssystem aufgrund seines Read-only-Dateisystems und der strengen Trennung der verschiedenen Ausführungsumgebungen ein undankbarer Wirt für Schadsoftware sei. Selbst die absichtliche Installation einer Android- oder Linux-Malware wäre zu verkraften, da dem jeweiligen Schädling der Ausbruch in das Gesamtsystem verwehrt bleibt. Im schlimmsten Fall gingen also "nur" die im Android- oder Chrome-Subsystem befindlichen Informationen verloren. Das bedeutet allerdings nicht, dass Admins ihre Chromebook-User komplett alleinlassen sollten. Denn es gibt verschiedenste schädliche Chrome-Erweiterungen – einmal im Browser installiert, kann das Add-on ordentlich Schindluder treiben. Neben dem Cryptomining ist auch das Abernten von Informationen ein denkbares Szenario.
PerfCtl sitzt tief im System
Die zum Zeitpunkt der Drucklegung wohl schlagkräftigste Linux-Malware hört auf den Namen PerfCtl, eine Analyse von Aqua Security findet sich unter [9]. Ihre Hauptaktivität ist das Mining der Kryptowährung Monero. Anders als bei vielen weiteren Coins gilt hier, dass sich damit halbwegs akzeptable Resultate beim CPU-Mining erreichen lassen. Der Schädling treibt seit vier Jahren sein Unwesen, wurde allerdings erst vor kurzer Zeit öffentlich auffällig. Sein Name ist übrigens eine Kombination aus häufigen Linux-Kommandozeilenwerkzeugnamen, die einen auf die Prozessliste blickenden Administrator davon abhalten soll, den Braten zu riechen.
Interessant ist besonders Ablauf des Angriffs: Der "Initial Breech" erfolgte durch eine (absichtlich) fehlerhaft konfigurierte Instanz von RocketMQ, eine verteilte Messaging- und Streaming-Plattform. Nach der Ausführung wurde eine HTTP-Verbindung aufgebaut, über die Schadcode auf das System wanderte. Im Rahmen des Verbindungsaufbaus zum Command-and-Control-Server – hier fand interessanterweise TOR Verwendung – verteilte das System Rootkits und andere Malware. Besonders schwerwiegend ist, dass sich PerfCtl tief im Rechner verankert. Das Löschen einer einzelnen Binärdatei reicht nicht aus, um ein System zu bereinigen.
Zu beachten ist, dass die Nutzung eines Systems als Proxy oder Mining-Server nicht bedeutet, dass der Hacker nicht irgendwann Ransomware nachlädt. Im Darknet gibt es Marktplätze für Zugangsdaten zu verwundbaren Systemen. Ist der Hacker ermüdet vom Bitcoin-Mining oder bekommt er ein gutes Angebot, so ist es möglich, dass er Teile seines Botnets aufgibt und diese einem Ransomware-Operator zur Verfügung stellt.
Gefahren analysieren und einstufen
Das Framework Mitre Att&ck [13] ist ein weltweit genutztes Werkzeug zur Analyse und Abwehr von Cyberangriffen. Es bietet eine strukturierte Übersicht über Taktiken, Techniken und Verfahren, die Angreifer nutzen, um Netzwerke zu infiltrieren, Daten zu stehlen oder Systeme zu sabotieren. Durch die Kategorisierung realer Bedrohungen hilft es, Schwachstellen in IT-Systemen zu identifizieren und gezielte Schutzmaßnahmen zu entwickeln. Das Framework unterteilt den Lebenszyklus von Malware in diverse Stufen, was bei der Einordnung hilft.
Exotisch: Hadooken, LuaBot und EvilGnome
Ein weiterer Schädling ist das im September 2024 erstmals dokumentierte Hadooken [10] – der Name rührt von einer Angriffsbewegung aus dem Arcade-Spiel Street Fighter her. Unter Ausnutzung eines Konfigurationsfehlers in Oracles WebLogic-Server bringt die Malware entweder eine Python- oder eine Shell-Datei zur Ausführung. Beide haben die Aufgabe, Komponenten aus dem Internet auf das erste Opfersystem herunterzuladen.
Im Hinblick auf Linux als Angriffsfläche ist kurios, dass eine Analyse der Binärdateien unter anderem ein PowerShell-Skript zutage fördert – unter Linux kommt ein solches in der Regel nicht zum Einsatz. Wie dem auch sei: Hadooken verteilt danach eine als Tsunami bezeichnete generische Malware und einen Cryptominer. Die Infektion anderer im Netzwerk vorhandener Geräte erfolgt vornehmlich per SSH.
Einen eher exotischen Anwendungsfall für gekaperte Rechenleistung stellt LuaBot dar. Der Bot ist interessant, weil er das erste in der Wildbahn anzutreffenden Beispiel eines in der Programmiersprache Lua gehaltenen Wurms ist. In einem Interview mit SoftPedia vermeldete der Autor, dass der primäre Existenzzweck des Wurms die Implementierung eines SOCKS-Proxies ist. Die Nutzung der infizierten Systeme als Quelle für DDoS-Traffic sei nur ein Nebeneffekt [11].
Evil Gnome [12] ist zwar schon seit 2019 bekannt, verdient in unserer Auflistung der Bösewichte aufgrund der eigenwilligen Vorgehensweise aber eine Erwähnung. Es handelt sich dabei um eine GNOME-Shell-Erweiterung, die das Opfer, etwa durch Social Engineering animiert, in seine Desktop-Umgebung nachlädt. Nach ihrer Aktivierung baut die Malware im ersten Schritt eine Verbindung zu einem Command-and-Control-Server auf, um danach – Analogien zu Windows sind nicht zufällig – als eine Art Keylogger über die Aktivitäten des Desktops zu informieren.
Besonders kritisch ist hier, dass sich der Schädling auch in die Sound-Middleware PulseAudio und den XOrg-Displayserver integriert. Es ist somit möglich, Screenshots und Mikrofonaufnahmen aus der Umgebung des befallenen Systems in Richtung der Angreifer zu übertragen. Wichtig für Admins ist hier die Sensibilisierung der Userschaft, um auf die Existenz gefährlicher GNOME-Erweiterungen hinzuweisen – denn viele Nutzer gehen nach wie vor davon aus, dass ein Linux-Desktop prinzipbedingt sicher ist.
IOT-Geräte als Malware-Ziel
Während sich die bisher besprochenen Schädlinge auf größeren Serversystemen tummeln, existiert eine Armada von Malware für IoT-Devices. Eine von der Eclipse Foundation durchgeführte Umfrage zur Ausstattung mit Betriebssystemen im Embedded- und IoT-Bereich ergibt ein deutliches Bild: Rund 42 Prozent der befragten Entwickler gaben an, hier auf Linux zu setzen. Auf dem zweiten Platz folgt mit 25 Prozent das unter der Ägide von AWS stehende FreeRTOS.
Wer einen Router überrennt, mag weniger Rechenleistung erbeuten. Andererseits hat das Kleingerät zwei erhebliche Vorteile: Erstens steht die gesamte Bandbreite der angeschlossenen Internetverbindung zur Verfügung; zweitens werden insbesondere kleinere Router nur oberflächlich überwacht und werkeln mitunter jahrelang unberührt vor sich hin.
Das unter [14] zu Testzwecken bereitstehende Botnetz Mirai macht sich dies zunutze. Die Software infizierte Router, um diese als DDoS-Drohnen einzuspannen. Als Ziel ersannen die Angreifer anfangs Minecraft-Server. Die Monetarisierung erfolgte durch das Anbieten von Sicherheitsdienstleistungen, für die geplagte Serveradministratoren den einen oder anderen US-Dollar überwiesen.
Interessant an Mirai war die Art der Verbreitung. Die Malware enthält eine Liste häufiger Benutzername-Passwort-Kombinationen und scannt das Internet nach möglichen Opfern ab. Dies war erforderlich, weil die diversen Router nur im RAM infiziert wurden – wer einen verwundbaren Router neu startete, hatte einige Zeit Ruhe. Aufgrund der freien Verfügbarkeit des Quellcodes galt, dass Mirai bald Erweiterungen erfuhr. So gibt es Varianten, die eine Liste häufiger Exploits mitbringen und Ziele unter Nutzung ebendieser zu erobern suchen.
Derzeit gilt, dass das Vermeiden bekannter Benutzername-Passwort-Kombinationen auf Routern allgemein Sicherheit schafft. Es dürfte aber nur eine Frage der Zeit sein, wann die bisher genutzte Bruteforce-Methode durch verfeinerte Methoden ersetzt wird. Das Einspielen von Firmwareupdates und die Überwachung der CVE-Listen zum Auffinden von Exploits ist jedenfalls empfehlenswert.
Fazit
Obwohl Fans gern die Sicherheit von Linux betonen, ist diese nicht immer gegeben. Dieser Artikel zeigt, dass es auch unixoide Betriebssystemen mit jeder Menge Malware zu tun bekommen. Anders als am Windows-Desktop gilt, dass die Angreifer in den meisten Fällen gezielte Attacken durchführen und mitunter erhebliche Ressourcen investieren. Vorsicht zahlt sich also doppelt aus.
(ln)
Link-Codes
[1] SentinelOne: Linux- und ESXi-Ransomware: https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/
[2] Schwachstellenliste der CISA: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[3] Trend Micro: 2024 Midyear Cybersecurity Threat Report: https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/pushing-the-outer-limits-trend-micro-2024-midyear-cybersecurity-threat-report
[4] Trend-Micro: LockBit: https://www.trendmicro.com/en_us/research/22/a/analysis-and-Impact-of-lockbit-ransomwares-first-linux-and-vmware-esxi-variant.html
[5] Bleeping Computer: TargetCompany: https://www.bleepingcomputer.com/news/security/linux-version-of-targetcompany-ransomware-focuses-on-vmware-esxi/
[6] Bleeping Computer: Babuk: https://www.bleepingcomputer.com/news/security/babuk-code-used-by-9-ransomware-gangs-to-encrypt-vmware-esxi-servers/
[7] MSSP Research Lab: Babuk: https://mssplab.github.io/threat-hunting/2023/06/15/malware-analysis-babuk.html
[8] NiceHash: Cryptominig-Rentabilitätsrechner: https://www.nicehash.com/profitability-calculator
[9] Aqua Security: PerfCtl: https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/
[10] Aqua Security: Hadooken: https://www.aquasec.com/blog/hadooken-malware-targets-weblogic-applications/
[11] Softpedia LuaBot: https://news.softpedia.com/news/luabot-author-says-his-malware-is-not-harmful-508397.shtml
[12] Infosec: EvilGnome: https://www.infosecinstitute.com/resources/malware-analysis/malware-spotlight-evilgnome/
[13] Mitre Attack: https://attack.mitre.org/
[14] GitHub: Mirai Botnet: https://github.com/jgamblin/Mirai-Source-Code