computerwoche.de

Freiberufler & Gründer

Linux-Admins aufgepasst

Neuer Hacker-Trick: Über Linux in Windows-Systeme eindringen

13.05.2008
Von Marco Preuß

Bedrohungspotenzial durch Root-Kits

Nicht barrierefrei: Mehrere Instanzen überpüfen eine Datei auf ihrem Weg vom Absender zum Empfänger.
Nicht barrierefrei: Mehrere Instanzen überpüfen eine Datei auf ihrem Weg vom Absender zum Empfänger.

Die Ausrichtung des Systems Linux schlägt sich auch in der Malware-Statistik nieder: Schwerpunkte sind Backdoors und Exploits sowie diverse Netzwerk-Hacker-Tools. Seit einiger Zeit sorgt das Thema Root-Kits für Windows für Gesprächsstoff. Klassisch stammen diese Schädlinge aus dem Unix-Umfeld, was Linux mit einschließt. Root-Kits sind Tool-Sammlungen, mit denen Angreifer Root-Rechte auf einem System erlangen können. Die Kits setzen sich aus Tools zusammen, die den Angreifer und die ausgeführten Prozesse im System verstecken, Backdoor-Funktionen bieten und dazugehörige Installationsscripts bieten.

Root-Kits lassen sich dazu in zwei Arten trennen: Kernel-Mode-Root-Kits und User-Mode-Root-Kits ? der Name gibt die Ausführungsebene an. User-Mode-Root-Kits tauschen hauptsächlich systemwichtige Überwachungstools durch abgeänderte Versionen aus. So werden etwa ps, top oder auch netstat durch Versionen ausgetauscht, die die Aktivitäten bestimmter Prozesse nicht anzeigen. Kernel-Mode-Root-Kits dagegen versuchen, direkt den Kernel anzugreifen oder sich darin einzupflanzen, um ihre Aktivitäten unbemerkt ausführen zu können.

Die gängigste Methode ist das Schreiben von Loadable Kernel Modules (LKM). Diese haben den Vorteil, dass sie zum Kernel laufen, ohne dass dieser neu kompiliert werden muss. Darüber versuchen einige Programme etwa die Syscall-Table durch Loadable Kernel Modules (LKM) so abzuändern, dass anstatt des originalen Codes der Code des An greifers ausgeführt wird. Andere Methoden tauschen das Kernel-Image durch ein komplett abgeändertes Kernel-Image aus oder fügen schädliche Patches zum Kernel hinzu. Im Dezember vorletzten Jahres wurde auf dem 22. Chaos Communication Congress des Chaos Computer Club die Möglichkeit eines Root-Kits für den 2.6er-Kernel durch ein Proof-of-Concept vorgestellt und diskutiert.

Inaktive Root-Kits können Virenscanner anhand von Signaturen abfangen, bei aktiven Root-Kits im Kernel-Mode hilft oftmals nur der Offline-Scan des Systems. Eine relativ hohe Sicherheit bringen Integritäts-Checker von einer Live-CD. Im Server-Bereich gestaltet sich dies jedoch etwas schwieriger, da ein Produktivsystem wie ein Webserver, FTP-Server oder Datenbanksystem nicht heruntergefahren werden kann, um einen Off-line-Scan durchzuführen.

Neben diesen Gefahren sind auch einige Würmer im Linux-Umfeld bekannt, etwa der Netz-Wurm »Ramen«. Dieser nutzte Sicherheitslücken in daemons statd, lpd und wu-ftp aus, um sich zu verbreiten. Daneben sind Slammer und sein FreeBSD-Zwilling Scalper bekannt, die eine Schwachstelle im HTTP-Dienst ausnutzten, um Systeme zu befallen. ELF-Viren (Executable and Linking Format, ein Binary-Format unter Linux) können sich nur mit den Rechten des ausführenden Users bewegen, trotzdem sind einige Varianten wie Bliss.a bekannt. Einige Programmier-HOWTOs zu diesem Thema haben die Anzahl dieser Virenart bereits erhöht. Im Netzwerk können diese Viren zu einer Plage für den Admin werden, wenn die benutzereigenen Dateien gelöscht, zerstört oder infiziert werden und dann per Backup wiederhergestellt werden müssen.

Bei mehreren befallenen Usern kann dies viel Arbeitszeit des Admins und somit viel Geld kosten. Vor dem Thema Root-Kits waren bereits Bots und Bot-Netze in der Presse. Dabei werden auf PCs so genannte Bots oder auch Zombies installiert, die vom Angreifer über IRC oder ähnliche Dienste global verwaltet und gesteuert werden. Eingesetzt werden die damit aufgebauten Bot-Nets, mit einer Größe von bis zu mehreren tausend Rechnern, für gezielte Attacken (DDoS) oder Spam-Versand über in die Bots integrierte SMTP-Engines.

Auch Mighty, ein Netzwerk-Wurm, brachte derartige Funktionen mit. Er basierte auf dem IRC-Bot »Age of Kaiten« und benutzte den Exploitcode des Slapper-Wurms. Zu seiner Verbreitungszeit hatte er 1600 Systeme befallen. Dass Linux nicht nur auf Desktops und Servern, sondern auch auf Embedded-Systemen zum Einsatz kommt, haben mittlerweile auch Researcher entdeckt und einen Proof-of-Concept-Virus "Virus.Linux.Podloso.a" für das iPod-Linuxsystem entwickelt.

Aber nicht nur der iPod ist betroffen - auch für andere Unix und Unix-artige Systeme, darunter Mac OS X und auch Solaris, haben sich schon einige Malicious Codes gezeigt. Im Vergleich zu Windows-Malware, welche allerhand Technologien erhält, um sich zu verstecken und Virenscanner zu täuschen, sind unter Linux noch nicht allzu viele derartiger Techniken bekannt. Laufzeitpacker beispielsweise sind unter Linux nur zweigängig: UPX und ELFuck, welche aber nur selten benutzt werden.