Mehr Malware bedroht Linux

Malware für Linux taucht inzwischen häufiger in freier Wildbahn auf. Ein Sicherheitsunternehmen sieht eine Zunahme von 35 Prozent im Jahr 2021.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 190 Beiträge
Aufmacherbild Linux-Malware zugenommen

(Bild: Pixels Hunter/Shutterstock.com)

Von
  • Dirk Knop

Schädlinge wie XorDDoS, Mirai und Mozi, die unter anderem Internet-of-Things-Geräte mit Linux-Betriebssystem angreifen, sind auf dem Vormarsch. Das IT-Sicherherheitsunternehmen Crowdstrike hat eine Zunahme solcher Linux-Malware um 35 Prozent im vergangenen Jahr gegenüber 2020 gesehen.

Alleine diese drei größten Schädlingsfamilien seien für 22 Prozent der Linux-Infektionen verantwortlich. Der Hauptzweck dieser Malware-Familien besteht darin, das angegriffene System zur Drohne im Botnet zu machen und es an Distributed-Denial-of-Service-Angriffen (DDoS) zu beteiligen.

Linux gelte als sicheres Betriebssystem und werde weitreichend von Cloud-Servern bis in IoT-Geräten eingesetzt. Es erweise sich dort als lohnenswerte "niedrig hängende Frucht" für Cyberkriminelle, wo fest einprogrammierte Zugangsdaten, offene Ports oder ungepatchte Sicherheitslücken vorliegen – vorwiegend im IoT-Bereich.

Die massenhafte Kompromittierung anfälliger Geräte bedrohe die Integrität kritischer Internetdienste. Crowdstrike verweist in der Meldung auf die Statista-Schätzung, dass sich im Jahr 2025 etwa 30 Milliarden IoT-Geräte im Internet tummeln werden: Eine riesige potenzielle Basis für ausufernde Botnetze.

Zu den am häufigsten aufgespürten Malware-Samples gehöre etwa XorDDoS, wobei Crowdstrike einen Anstieg um 123 Prozent beobachtet hat. Der Name rührt von der XOR-Verschlüsselung in der Malware und der Kommunikation mit dem Command-and-Control-Server her. Der Schädling liegt als Kompilat für die Architekturen ARM, x86 und x64 vor und versucht, per Brute-Force-Attacke – also dem Durchprobieren vieler Passwörter – via SSH in Geräte einzubrechen.

Die Mozi-Malware-Familie sei 2021 zehnmal häufiger als im Vorjahr aufgespürt worden. Sie setze auf eine Peer-to-Peer-Kommunikationsstruktur, um Command-and-Control-Verkehr zu verschleiern. Die Angriffe auf weitere Geräte erfolgen hier via Brute-Force auf SSH und Telnet. Die Malware an dritter Stelle ist Mirai. Das Botnet ist schon sehr lange bekannt. Mirai nutzt schwache Protokolle wie Telnet und schwache Passwörter zum Eindringen in anfällige Geräte.

Auch andere Sicherheitsunternehmen sehen Malware, die nicht nur Windows-Systeme angreift. Intezer hat etwa eine Malware für Windows, Mac OS und Linux namens SysJoker entdeckt und analysiert. Es handelt sich dabei um eine Hintertür, die auf Befehle von einem Command-and-Control-Server wartet, um sie auszuführen.

Die chinesische Anti-Malware-Firma Rising berichtet derweil von einer Linux-Variante der Ransomware SFile, auch unter dem Namen Escal bekannt. Der Antivirenhersteller Eset hat sogar eine FreeBSD-x64-Version von SFile entdeckt.

Internet-of-Things-Geräte, die sich entweder gar nicht aktualisieren lassen, für die die Hersteller keine Updates verteilen oder die im Patchmanagement einfach vergessen werden, stellen offenbar eine nicht zu unterschätzende Gefahr dar. Zwar wird sich ab August 2024 die Lage aufgrund der neuen Funkanlagenrichtlinie der EU bezüglich Aktualisierbarkeit verbessern. Dennoch bleiben Altgeräte weiter in Betrieb. Diese sollten IT-Sicherheitsverantwortliche etwa per Firewall schützen.

Aufgrund der Brute-Force-Angriffe auf die Geräte sollten wenigstens die Standard-Passwörter in komplexere geändert werden. Besser ist eine Zwei-Faktor-Authentifizierung oder die Nutzung von Kurzzeitpasswörtern etwa via Google Authenticator, sofern sich die IoT-Geräte derart einrichten lassen. Weiterhin sollten Administratoren gelegentlich den Netzwerkverkehr auf unerwartete Verbindungen untersuchen, um gegebenenfalls infizierte Geräte aufzuspüren.

(dmk)