Mythos Immunität: Linux im Fadenkreuz von Malware und Rootkits

Unternehmen setzen auf Linux, weil dieses Betriebssystem als stabil, performant und sicher gilt. Diese Einschätzung kommt nicht von ungefähr: Die Architektur von Linux, das Rechtemodell und die starke Open-Source-Community haben über Jahrzehnte dazu beigetragen, ein sehr robustes Betriebssystem zu schaffen. Doch aus dieser Wahrnehmung hat sich auch der gefährliche Mythos entwickelt, Linux sei praktisch immun gegen Malware.

Die Realität sieht anders aus. In den letzten Jahren ist Linux zunehmend in den Fokus von Angreifern geraten. Nicht zuletzt, weil ein grosser Teil der modernen IT-Infrastruktur darauf basiert. Webserver, Container-Plattformen, Cloud-Workloads und Netzwerkgeräte laufen häufig auf Linux.

Warum Linux jetzt ins Visier von Cyberangriffen rückt

Die Attraktivität von Linux für Angreifer hängt vor allem von seiner Rolle in der Infrastruktur ab. Ein kompromittierter Linux-Server bietet Angreifern häufig direkten Zugang zu sensiblen Daten, zu internen Netzwerken oder zu weiteren Systemen. Entsprechend entwickeln Cyberkriminelle immer ausgefeiltere Schadsoftware speziell für diese Umgebung.
Linux-Malware ist längst kein Randphänomen mehr. Es existiert eine breite Palette an Schadsoftware, die speziell auf Linux-Systeme abzielt, darunter:

• Cryptominer, die Serverressourcen zum Mining von Kryptowährungen missbrauchen

• Botnets, die grosse Mengen kompromittierter Systeme für DDoS-Angriffe nutzen

• Backdoors, die Angreifern dauerhaften Zugriff ermöglichen

Ein bekanntes Beispiel ist die Mirai-Familie, die ursprünglich IoT-Geräte infizierte und eines der grössten Botnets der Geschichte aufbaute. Seitdem sind zahlreiche Varianten entstanden, die Linux-Systeme automatisiert scannen und kompromittieren. Gerade öffentlich erreichbare Server werden häufig von automatisierten Angriffen getroffen, die nach schwachen Passwörtern, ungepatchten Diensten oder Fehlkonfigurationen suchen. 

Kernel-Rootkits: «Unsichtbar» tief im System verankert

Eine der gefährlichsten Kategorien von Linux-Malware sind Rootkits. Ihr Ziel ist es, sich tief im System zu verankern und zugleich ihre eigene Existenz zu verbergen.

Rootkits können auf unterschiedlichen Ebenen operieren:

• User-Space-Rootkits, die Systemtools manipulieren

• Kernel-Rootkits, die direkt den Linux-Kernel verändern

Besonders Kernel-Rootkits sind problematisch, da sie Systemfunktionen manipulieren können, um Prozesse, Dateien oder Netzwerkverbindungen zu verstecken. Klassische Sicherheitswerkzeuge oder einfache Log-Analysen erkennen solche Manipulationen oft nicht. Ein einmal kompromittiertes System kann so über lange Zeit unbemerkt unter der Kontrolle eines Angreifers stehen.

EDR als zentraler Baustein moderner Linux-Sicherheit

Viele Linux-Systeme verlassen sich auf klassische Sicherheitsmassnahmen wie:

• Firewall-Regeln

• Paket-Updates und Patching

• Minimale Softwareinstallation

• Zugriffskontrollen und SSH-Härtung

Diese Massnahmen sind wichtig und bilden die Grundlage jeder sicheren Linux-Umgebung. Sie verhindern jedoch nicht alle Angriffsszenarien. Angreifer nutzen häufig legitime Werkzeuge und Systemfunktionen («Living off the Land»), um sich im System unauffällig zu bewegen. Dadurch entsteht kaum klassische Malware-Signatur, die von traditionellen Sicherheitslösungen erkannt werden könnte.

Hier kommt Endpoint Detection and Response (EDR) ins Spiel. Moderne EDR-Lösungen überwachen das Verhalten eines Systems kontinuierlich und analysieren Aktivitäten wie:

• Prozessstarts

• Dateioperationen

• Kernel-Interaktionen

• Netzwerkverbindungen

• Privilege Escalation

Statt nur bekannte Malware zu erkennen, identifizieren EDR-Systeme verdächtige Verhaltensmuster, die auf einen Angriff hindeuten können.

Praxisfall Linux-Rootkit: Persistenz durch manipulierten Dynamic Linker

Das Linux-Rootkit bedevil (bdvl) nutzt eine ungewöhnliche Technik zur Persistenz und Tarnung: das Patchen des Dynamic Linkers. Während klassische LD_PRELOAD-Rootkits Einträge in /etc/ld.so.preload oder die Umgebungsvariable LD_PRELOAD manipulieren, verändert bedevil direkt den Dynamic Loader selbst. Dadurch umgehen die Angreifer viele Detection-Mechanismen, die lediglich nach bekannten LD_PRELOAD-Artefakten suchen.

Der Dynamic Linker (z. B. /lib64/ld-linux-x86-64.so.2) ist dafür verantwortlich, beim Start eines Programms alle benötigten Shared Libraries zu laden. Ein wichtiger Mechanismus ist dabei das Laden zusätzlicher Bibliotheken aus /etc/ld.so.preload. Rootkits missbrauchen diese Funktion häufig, um Systemfunktionen zu hooken und beispielsweise Prozesse oder Dateien zu verstecken.

Während der Installation sucht das Rootkit nach vorhandenen Linker-Binaries und ersetzt im jeweiligen Binary die Zeichenkette /etc/ld.so.preload durch einen neuen, zufällig generierten Pfad. Wichtig dabei: Die Länge der Zeichenkette bleibt gleich, sodass die Binary-Struktur unverändert bleibt.

inc/util/install/ldpatch/ldpatch.h (Source)

Statt der ursprünglichen Datei /etc/ld.so.preload wird nun eine vom Rootkit kontrollierte Datei verwendet, aus der zusätzliche Libraries geladen werden. Diese Library enthält die eigentliche Rootkit-Funktionalität und wird automatisch in jeden gestarteten Prozess injiziert.

Der dynamische Linker verarbeitet die mit der Umgebungsvariable LD_PRELOAD angegebene gemeinsam genutzte Bibliothek oder den Inhalt der Datei ld.so.preload, bevor andere Bibliotheken oder Funktionen aufgerufen werden. Aus diesem Grund werden LD_PRELOAD-Bibliotheken immer zuerst geladen.

Sehen Sie sich die folgende strace-Ausgabe an, in der wir die aufgerufenen Systemaufrufe von ls betrachten:

Haben Sie etwas Ungewöhnliches entdeckt?

Wir haben die bösartige LD_PRELOAD-Datei gefunden! Der erste Zugriffs-Syscall versucht, die als neue LD_PRELOAD-Datei angegebene Datei zu laden, nämlich den Pfad, den das Rootkit im dynamischen Lader überschrieben hat. Da dieser Pfad während der Initialisierung des Rootkits zufällig generiert wurde, hatten wir zuvor davon keine Kenntnis.

Rootkits enttarnt: Katz-und-Maus im Kernel und wie Detection gelingt 

Das Patchen des Dynamic Loaders ist eine eher unbekannte Technik, die unter Umständen von Incident-Respondern übersehen werden kann. Mehrere Mitglieder des Incident Response Teams der InfoGuard haben ihre Forschung zu Rootkits an internationalen Konferenzen präsentiert und bringen diese Erfahrung in die Analyse realer Incident-Fälle ein. Eine Paketintegritätsprüfung kann helfen, Manipulationen zuverlässig zu erkennen – auf RPM-basierten Systemen beispielsweise:

rpm -V glibc

Eine Veränderung des Dynamic Linkers würde typischerweise so erscheinen:

S.5....T.  /lib64/ld-linux-x86-64.so.2

Für die forensische Analyse empfiehlt sich ausserdem der Einsatz statisch gelinkter Tools. Da diese keine externen Libraries laden, umgehen sie LD_PRELOAD-basierte Hooks und können versteckte Artefakte zuverlässig sichtbar machen.

Das Patchen des Dynamic Linkers zeigt, dass moderne Linux-Rootkits zunehmend versuchen, klassische Detection-Methoden zu umgehen, indem sie zentrale Komponenten der Laufzeitumgebung direkt manipulieren.

Fazit: Sichtbarkeit für Linux-Malware statt klassischer Sicherheitsannahmen

Linux ist und bleibt ein leistungsfähiges und grundsätzlich sicheres Betriebssystem – aber nur, wenn Sicherheitsannahmen regelmässig hinterfragt werden. Mit der zunehmenden Bedeutung von Linux in Cloud-, Server- und Container-Infrastrukturen wächst auch das Interesse von Angreifern.

Gerade bei schwer erkennbaren Techniken wie Rootkits, Malware und Botnets zeigt sich: Klassische Sicherheitsmassnahmen allein reichen nicht mehr aus. Entscheidend ist die Fähigkeit, Verhalten zu verstehen, Anomalien sichtbar zu machen und im Ernstfall schnell zu reagieren.

Neben grundlegenden Sicherheitsmassnahmen spielt Endpoint Detection and Response (EDR) eine immer wichtigere Rolle – als datenbasierte Grundlage, deren Wirksamkeit durch die fundierte Analyse erfahrener Incident-Response-Expert:innen voll ausgeschöpft wird.

Was EDR konkret leisten muss:

• Verhaltensbasierte Erkennung statt Signaturdenken

• Umfassende Transparenz über Prozesse, System- und Netzwerkaktivitäten

• Schnelle Einordnung und Priorisierung von Sicherheitsvorfällen, inklusive Ableitung gezielter Massnahmen

Entscheidend ist letztlich die Fähigkeit, Abweichungen vom Normalzustand sichtbar zu machen und daraus zeitnah die richtigen Massnahmen abzuleiten.

Bleiben Sie über aktuelle Themen der digitalen Sicherheit informiert: Freuen Sie sich auf relevante Entwicklungen, fundierte Einordnungen und die wichtigsten Neuigkeiten aus der Welt der Cybersicherheit. Abonnieren Sie unsere Blog-Updates und lassen Sie die neuesten Insights direkt in Ihr Postfach flattern – praxisnah und am Puls der Zeit.

Bildlegende: mit KI generiertes Bild