Meldung

Angreifer nutzen spezielles Dateisystem für Linux-Attacken

Auch Linux ist nicht vor Malware sicher. Doch legen die unterschiedlichen Distributionen Angreifern gewisse Hürden in den Weg, da sie ihre Schadsoftware stets anpassen müssen. Aus diesem Grund scheinen einige Hacker auf das Filesystem PRoot auszuweichen, dass ihnen ermöglicht, verschiedene Linux-Distributionen gleichzeitig anzugreifen.
Normalerweise wird der Umfang eines Angriffs durch die unterschiedlichen Konfigurationen der einzelnen Linux-Distributionen begrenzt. PRoot ist ein Open-Source-Tool, das Angreifern hingegen eine einheitliche Betriebsumgebung für verschiedene Linux-Distributionen wie Ubuntu, Fedora und Alpine bietet. PRoot hat auch Emulationsfunktionen an Bord, mit denen sich Malware auf anderen Architekturen, wie beispielsweise ARM, ausführen lässt.

Bring Your Own Filesystem
Diese neuartige Technik ermöglicht es Bedrohungsakteuren, Malware, die zuvor für andere Architekturen und Distributionen entwickelt wurde, ohne Kosten und mit geringem Aufwand auf weiteren Zielen auszuführen. Diese Post-Exploitation-Technik, auch als Bring Your Own Filesystem (BYOF) bezeichnet, wird von den von Sysdig [1] beobachteten Bedrohungsakteuren aktiv genutzt. Sie ist besonders nützlich für Kriminelle bei Zielen, bei denen sie die Umgebung im Vorfeld nicht vollständig kennen oder nicht über die nötigen Ressourcen verfügen, um ihre Tools für den Einsatz in der neuen Umgebung anzupassen.

Michael Clark, Director of Threat Research bei Sysdig, über die Schwachstelle: "Bei den Angriffen, die Sysdig entdeckte, wurden bösartige Archive auf beliebten Speicherplattformen wie DropBox abgelegt. Sobald die Angreifer Zugang zu ihrem Zielsystem hatten, luden sie ihr bösartiges Dateisystempaket zusammen mit PRoot herunter. Bei der Verwendung von PRoot spielt die Architektur oder Distribution des Ziels kaum eine Rolle, da das Tool die mit der Kompatibilität der ausführbaren Dateien, der Einrichtung der Umgebung und der Ausführung von Malware und/oder Minern verbundenen Probleme des Angriffs ausgleicht. PRoot kann somit für die Bereitstellung einer beliebigen Anzahl von Payloads genutzt werden. Es ermöglicht Angreifern somit enorm große Skalierungsoptionen, nach einer erfolgreichen Infiltration."

Schutz durch Laufzeiterkennung
Gegen diese neue Bedrohung gibt es allerdings auch eine Sicherheitsstrategie: "Eine Laufzeiterkennungsschicht wie Falco, die dieses Verhalten erkennen kann, ist für die Sicherheitsabläufe in Unternehmen von entscheidender Bedeutung. Stellen Sie sicher, dass Sie diese Art von Bedrohung erkennen können, um das Risiko einer Ausnutzung, durch Cyberkriminelle in Ihrem Netzwerk zu verringern", erläutert Clark.

Bei Falco handelt es sich um einen Open-Source-Agent zur Überwachung von Verhaltensaktivitäten mit nativer Unterstützung für Container. Er erlaubt die Definition von hochgradig granularen Regeln, um Aktivitäten in Bezug auf Datei- und Netzwerkaktivitäten, Prozessausführung, IPC und vieles mehr zu überprüfen, wobei eine flexible Syntax verwendet wird. Sollten diese definierten Regeln dann gebrochen werden, so informiert Falco die Verantwortlichen. Im Prinzip ist Falco eine Mischung aus Snort, Ossec und Strace.
6.12.2022/dr

Tipps & Tools

Im Test: senhasegura GO Endpoint Manager 3 [2.02.2023]

Der senhasegura GO Endpoint Manager kümmert sich um die Verwaltung und die zielgerichtete Verwendung administrativer Zugangsdaten und Berechtigungen. Das System führt Applikationen mit erhöhten Rechten aus, ohne dass Endanwender dazu dauerhaft privilegierte Rechte benötigen. Im Test zeigte sich, dass diese Rechtevergabe detailliert und flexibel hilft, die Sicherheit zu verbessern. [mehr]

Download der Woche: Alle meine Passworte [25.01.2023]

IT-Profis bewahren ihre Zugangsdaten meist in einem Passwortmanager auf. Ein solcher ist "Alle meine Passworte". Das Tool bringt neben seiner Kostenfreiheit als weitere Vorteile eine Exportfunktion sowie mehrere Verschlüsselungsarten mit. Ebenso möglich ist das automatische Einfügen der relevanten Daten in die entsprechenden Eingabefelder. [mehr]

Fachartikel

Sicherheit mit Penetrationstests erhöhen [1.02.2023]

Jedes Unternehmen kann zum Ziel eines Cyberangriffs werden. Externe Fachleute, sogenannte Ethical Hacker oder White Hats, führen deshalb Penetrationstests durch, um die Verwundbarkeit der IT einer Organisationen auf den Prüfstand zu stellen. Aber viele IT-Entscheider scheuen den Aufwand und die Kosten. Für eine solide Cyberresilienz ist Ethical Hacking aber unverzichtbar. Der Artikel liefert sechs Argumente, warum Pentesting sinnvoll ist. [mehr]

Buchbesprechung

Der Weg zum Python-Profi

von Al Sweigart

Anzeigen