Antivirus ist tot

Frühjahrsputz Ubuntu Server

26. April 2017
  • Antivirus ist tot

© Elnur - Fotolia.com

Die Ubuntu Server Edition liegt derzeit in der Version 16.04.2 LTS bzw. 17.04 vor; downloaden können Sie direkt auf der Site der Canonical Group. Eine Anleitung für die Installation finden Sie im Ubuntu Users Wiki.

Ubuntu Server aufräumen, optimieren & sichern

Die Grundarchitektur der Ubuntu Desktop- und Ubuntu Server-Edition sind gleich, sodass Sie die Tipps und Anleitungen aus unserem Desktop-Beitrag für Ihren Server-Frühjahrsputz umsetzen können. Weiterführende Informationen finden Sie in unserem ursprünglichen Ubuntu Server-Beitrag.

Nach dem Motto „Never change a running system“ haben also die bisherigen Anleitungen nach wie vor Bestand. Etwas Anderes hat sich jedoch geändert: die Bedrohungslage, mit der sich auch auf Linux basierende Systeme auseinandersetzen müssen.

Aktuelle Linux-Bedrohungen

Das Jahr 2017 ist noch verhältnismäßig jung; die Meldungen über Malware, die Linux im Visier hat, wachsen jedoch. So berichtete Trojaner-Info im Januar, dass es die Ransomware KillDisk nun auch auf Linux-Systeme abgesehen hat. Nicht nur Workstations seien betroffen, sondern auch Server.

Die Lösegeld-Forderung ist bei Windows und Linux gleich hoch. Jedoch arbeitet die Ransomware bei Linux-Systemen anders: die Verschlüsselungsmeldung wird unter Linux im GRUB-Bootloader ausgegeben. Beim Ausführen der Malware werden die Bootloader-Einträge überschrieben und der Löschungstext angezeigt.

Sicherheitsexperten wie die Forscher von ESET warnen davor, der Lösegeldforderung nachzukommen. Das bringt gar nichts, da die Verschlüsselungsschlüssel weder lokal noch auf Servern gespeichert werden. Eine Entschlüsselung ist also gar nicht möglich. Eine Schwäche in der Verschlüsselung der Linux-Version von KillDisk erlaubt das Wiederherstellen von Daten, was jedoch enorm aufwendig ist. Unter Windows gilt dies nicht!

Opfer von Ransomware zahlen immer wieder immense Lösegeldsummen, um dann doch nicht an ihre Daten zu gelangen. Deshalb: zahlen Sie nicht! Der Schutz Ihrer Daten ist deutlich kostengünstiger als die Erpressung durch Cyberkriminelle: bleiben Sie stets informiert, halten Sie Software und Betriebssystem immer auf dem neusten Stand, wählen Sie effiziente und zuverlässige Security-Lösungen und erstellen Sie Backups auf externen Speichermedien.

Linux-Malware mit Anti-Sandbox-Funktion

Diesmal waren es die Forscher von Palo Alto Networks, die im April 2017 die erste Linux-Malware entdeckt haben, die sich gegen Sandboxes wehren kann. Die Malware erkennt virtuelle Maschinen und kann diese löschen. Damit die „Amnesia“ getaufte Malware keine Spuren hinterlässt, löscht sie anschließend sich selbst.

Bislang waren solche Methoden nur für Windows und Android bekannt, erklären die Experten auf ihrer Website. Amnesia versuche zu ermitteln, ob sie auf VMware, QEMU oder Virtual Box in einer VM läuft. Ist dem so, werden alle Dateien im Dateisystem gelöscht. Nicht nur Sandboxen, die Malware aufspüren, sondern wahrscheinlich auch QEMU-basierte Linux-Server in Public Cloud- oder VPS-Umgebungen.

Palo Alto Networks ordnet Amnesia der Linux-Malware Tsunami zu. Mit dieser werden gleichnamige IoT-Botnets aufgebaut. Anfällige Systeme werden durch Remote-Code-Ausführung übernommen, wodurch ein Botnet für DoS-Angriffe genutzt werden kann.

BrickerBot zerschießt IoT-Geräte

BrickerBot ist eine IoT-Malware, die befallene Geräte derartig verändert, dass sie funktionsunfähig werden. Sicherheitsforscher von Radware fanden ebenfalls im April heraus, dass der Schädling das Web nach Linux-basierten Routern und anderen Geräten abscannt, die lediglich via Default-Passwort („Factory-Passwort“) gesichert sind.

Spürt der Bot ein solches Gerät auf, sorgen verschiedene Kommandos fürs Löschen sämtlicher Dateien auf dem Gerät. Die Internet-Verbindung wird getrennt, der Speicher korrumpiert. Eine Reparatur lohnt sich aus Kostengründen bei günstigen Consumer-Geräten kaum – die Geräte sind also „bricked“ („zugemauert“). Radware spricht von einer PDoS-Attacke („Permanent Denial-of-Service“).

Die Untersuchungen von Radware zeigen, dass Angriffsversuche aus zwei Botnetzen erfolgten; BrickerBot 1 und 2. Variante 1 scheint bereits stillgelegt zu sein, BrickerBot 2 jedoch ist noch zerstörerischer und greift auch Server an. Ein bisschen werkeln BrickerBot und Amnesia gleich, jedoch möchte Amnesia keine Hardware zerstören, sondern ein Botnet aufbauen.

Der Schutz gegen BrickerBot ist sehr einfach: Default-Passwörter sollten geändert werden. Das macht noch mal deutlich, wie hilfreich sichere Passwörter sein können.

User sind auch im Server-Bereich Ubuntus größte Schwachstelle

Die drei aktuellen Linux-Malware-Meldungen untermalen das Fazit, zu dem wir bereits beim Ubuntu Desktop-Frühjahrsputz gekommen sind: der User ist die größte Schwachstelle des Systems. Linux selbst ist von seiner Architektur sehr sicher konzipiert. Leider existieren mittlerweile Bedrohungen, die auch diese Sicherheit umgehen können – Ransomware ist allgegenwärtig.

Dennoch: mit einer effizienten Sicherheitsstrategie und gesundem Menschenverstand, mit dessen Hilfe etwa Passwörter regelmäßig gewechselt und Backups angelegt werden, lässt sich unter Linux sehr sicher agieren.



0 Kommentar(e)

Schreibe einen Kommentar