Unix verbreitet sich in der Ransomware-Landschaft

Originalbeitrag von Joachim Suico, Threat Research Engineer

2016 war das Jahr der Ransomware. Als Beweis können die 146 Familien dienen, die letztes Jahr entdeckt wurden. Im Jahr zuvor waren es noch 29. Trend Micro geht davon aus, dass die Cyberkriminellen ihre Plattformen, Fähigkeiten und Techniken in diesem Jahr erweitern und diversifizieren werden, um noch mehr Ziele zu treffen. Tatsächlich gibt es bereits Indizien für diesen Trend, denn die Kriminellen nehmen nun auch Nutzer von Mobilgeräten ins Visier. Zudem wird bereits Ransomware für weitere Betriebssysteme entwickelt und dann im Untergrund an „Kumpel“ verklickert.

Linux.Encoder (ELF_CRYPTOR-Familie) war bekanntermaßen die erste Erpressersoftware für Linux-Systeme, die auf Web Hosting-Systeme zielte, und zwar über Sicherheitslücken in Web-basierten Plug-ins oder Software wie die von Magento. In Mac OS X-Systemen war es KeRanger (OSX_KERANGER), der in Datei-Sharing-Anwendungen gefunden wurde, oder bösartige Mach-O-Dateien als RTF-Dokumente getarnt.

Der gemeinsame Nenner all dieser Schädlinge: Unix mit seinen verschiedenen Varianten wie Linux oder Mac OS X. Das Multiuser-, Befehlszeilen-Betriebssystem, nutzt ein vereinheitlichtes Dateisystem nutzt und einfache Tools, wie etwa Shell und Befehlssprache, um komplizierte Aufgaben durchzuführen.

Bild 1. Ähnlichkeiten bei den Funktionsnamen von Linux.Encoder (links) und KeRanger (rechts)

Grundlagen

Beide Schädlinge infizieren die Systeme über Methoden, die für Windows-Ransomware typisch sind, aber als Zutrittsvektoren wählen sie aufgrund der Charakteristiken von Unix selten nutzerzentrische. Sie nutzen Sicherheitslücken aus oder stehlen legitime Apple-Zertifikate. Weitere Details bietet der Originalbeitrag.

Die Analyse der Sicherheitsforscher von Trend Micro zeigte, dass die beiden erwähnten Schädlinge lediglich Vorboten dessen sind, was den Anwender noch erwarten könnte. KeRanger etwa besitzt eine ungewöhnliche Funktion, die die OS X Time Machine (eine Backup Utility in Mac-Computern) verschlüsseln/löschen soll.

Linux.Encoder stammt aus einem Open-Source Ransomware-Projekt, und hat mehrere Updates hinter sich, über die Fehler in der Verschlüsselungsroutine ausgemerzt werden sollen. Es gibt bereits eine Reihe infizierter Linux-Server (in der 3. Version sind es mehr als 600 weltweit).

Auch wenn sich Unix-Ransomware noch im Experimentierstadium befindet, so lässt sich schon erkennen, wohin es gehen soll und welche Fähigkeiten verwendet werden, um mehr Ziele zu treffen. Dies zeigen auch andere Familien, die Unix-artige Betriebssysteme wie Linux und Android angreifen. Dazu gehören KillDisk (RANSOM_KILLDISK.A), Rex (RANSOM_ELFREXDDOS.A), Encryptor RaaS (RANSOM_CRYPRAAS.B), KimcilWare (RANSOM_KIMCIL), Svpeng (ANDROIDOS_SVPENG) und Koler (ANDROIDOS_KOLER).

Eigentlich begann die Entwicklung von Linux-Ransomware bereits 2014, als Synolocker (RANSOM_SYNOLOCK) gesichtet wurde. CryptoTrooper (RANSOM_CRYPTOTROOPER) und PHP Ransomware (PHP_CRYPWEB) — wie Linux.Encoder – führten vor, wie Open-Source-Projekte, die ursprünglich für Trainingszwecke gedacht waren, auf Abwege geraten können.

Ist Unix ein lukrativer Markt für Ransomware?

Wieso ist Unix ein interessantes Ziel für Bedrohungen wie Ransomware? Eine Rolle spielen sicherlich die Marktanteile und die hohe Nutzerzahl, aber genauso wichtig ist auch die Architektur des Betriebsystems. Software in Unix-ähnlichen Systemen wie Linux ist beispielsweise entweder von der Quelle her kompiliert oder ist in Form von sicherheitsüberprüften Repositories. Das Berechtigungsmodell macht es ausführbaren Dateien schwer, mit Privilegien für den Zugriff und die Verschlüsselung von Dateien zu laufen. Zudem hat das Betriebssystem keine Maßnahmen wie Windows User Account Control (UAC). UAC kann Software auf Standard-Nutzerrechte beschränken (falls nicht ein Admin sie autorisiert). Viele Unix-Nutzer können einfach Programme laufen lassen und Änderungen am System vornehmen. Auch gewähren viele Organisationen ihren Endbenutzern administrativen Zugriff auf ihre Workstations. Es bedarf lediglich einer Sicherheitslücke, die Remote Code-Ausführung oder Procedure Call ermöglicht oder einer mithilfe von Social Engineering erstellten Mail, um Ransomware ins System zu einzulassen.

Daher ist Unix-Ransomware – auch wenn noch im Test befindlich – eine ernst zu nehmende Bedrohung, gerade auch weil das Betriebssystem so verbreitet ist, von Servern, Workstations, Web-Entwicklungs-Frameworks und Datenbanken bis hin zu Mobilgeräten, und das in allen Branchen. Linux-Systeme etwa stellen die meisten Architekturen bei Hosting- und Storage-Dienstleistern.

Gegenmaßnahmen und Best Practices

Linux-Systemadministratoren müssen es vermeiden, nicht verifizierte Repositories von Drittanbietern hinzu zu fügen, auch wenn Nutzer mit den entsprechenden Rechten immer noch welche installieren können, sogar wenn Linux ein zentrales Repository für den Download von Paketen vorhält. Zum Schutz vor Bedrohungen, die keine Privilege Escalation Exploits einsetzen, sollten die Rechte nutzerbezogen vergeben werden. Root-Anmeldung muss standardmäßig deaktiviert sein, und Nutzer sollten nur dann Aktionen ausführen können, wenn sie Admin-Rechte erhalten. System/IT-Administratoren sollten auch nur eingeschränkt Nutzer zur sudoers (Administratoren)-Gruppe hinzufügen.

Die Separierung von Rechten in Linux verbessert die Sicherheit erheblich, indem die Möglichkeit der Änderungen, die Programme am System vornehmen, eingeschränkt wird. Auch regelmäßige Audits und Härtung kann die Angriffsoberfläche des Systems verkleinern, zum Beispiel durch die Minimierung der laufenden Services oder die Deaktivierung unerwünschter Dienste. Die Nutzung von Linux Sicherheits-Extensions ist ebenfalls für schlecht konfigurierte Programme zu empfehlen. Die Extensions setzen die obligatorischen Zugangskontroll-Policies durch. Die Richtlinien verwalten den Zugang von Programmen zu Dateien und Netzwerkressourcen, und helfen damit, den Schaden möglichst gering zu halten, der durch bösartige oder falsch konfigurierte Programme entstehen kann.

Der Einsatz von Intrusion Detection-Systemen, die ein stetiges Monitoring und Inspektion verdächtiger Einträge in Logs bieten, können ebenfalls zu einer frühen Erkennung von Angriffsversuchen beitragen.

Neben einer permanenten Aktualisierung der Systeme und regelmäßigem Backup wichtiger Daten, müssen Unternehmen auch sicherstellen, dass ihr Perimeter abgesichert ist. Systemadmins sollten auch ständig nach verdächtigen Dateien, Anwendungen, Prozessen und Netzwerkaktivitäten, die üblicherweise von Ransomware verursacht werden, suchen.

Zudem hilft ein mehrschichtiger Sicherheitsansatz, der das Gateway, Endpoints, Netzwerke und Server einschließt.

Lösungen von Trend Micro gegen Ransomware

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltens-Monitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*