Unternehmen setzen auf Linux, weil dieses Betriebssystem als stabil, performant und sicher gilt. Diese Einschätzung kommt nicht von ungefähr: Die Architektur von Linux, das Rechtemodell und die starke Open-Source-Community haben über Jahrzehnte dazu beigetragen, ein sehr robustes Betriebssystem zu schaffen. Doch aus dieser Wahrnehmung hat sich auch der gefährliche Mythos entwickelt, Linux sei praktisch immun gegen Malware.
Die Realität sieht anders aus. In den letzten Jahren ist Linux zunehmend in den Fokus von Angreifern geraten. Nicht zuletzt, weil ein grosser Teil der modernen IT-Infrastruktur darauf basiert. Webserver, Container-Plattformen, Cloud-Workloads und Netzwerkgeräte laufen häufig auf Linux.
Die Attraktivität von Linux für Angreifer hängt vor allem von seiner Rolle in der Infrastruktur ab. Ein kompromittierter Linux-Server bietet Angreifern häufig direkten Zugang zu sensiblen Daten, zu internen Netzwerken oder zu weiteren Systemen. Entsprechend entwickeln Cyberkriminelle immer ausgefeiltere Schadsoftware speziell für diese Umgebung.
Linux-Malware ist längst kein Randphänomen mehr. Es existiert eine breite Palette an Schadsoftware, die speziell auf Linux-Systeme abzielt, darunter:
Cryptominer, die Serverressourcen zum Mining von Kryptowährungen missbrauchen
Botnets, die grosse Mengen kompromittierter Systeme für DDoS-Angriffe nutzen
Backdoors, die Angreifern dauerhaften Zugriff ermöglichen
Ein bekanntes Beispiel ist die Mirai-Familie, die ursprünglich IoT-Geräte infizierte und eines der grössten Botnets der Geschichte aufbaute. Seitdem sind zahlreiche Varianten entstanden, die Linux-Systeme automatisiert scannen und kompromittieren. Gerade öffentlich erreichbare Server werden häufig von automatisierten Angriffen getroffen, die nach schwachen Passwörtern, ungepatchten Diensten oder Fehlkonfigurationen suchen.
Eine der gefährlichsten Kategorien von Linux-Malware sind Rootkits. Ihr Ziel ist es, sich tief im System zu verankern und zugleich ihre eigene Existenz zu verbergen.
Rootkits können auf unterschiedlichen Ebenen operieren:
User-Space-Rootkits, die Systemtools manipulieren
Kernel-Rootkits, die direkt den Linux-Kernel verändern
Besonders Kernel-Rootkits sind problematisch, da sie Systemfunktionen manipulieren können, um Prozesse, Dateien oder Netzwerkverbindungen zu verstecken. Klassische Sicherheitswerkzeuge oder einfache Log-Analysen erkennen solche Manipulationen oft nicht. Ein einmal kompromittiertes System kann so über lange Zeit unbemerkt unter der Kontrolle eines Angreifers stehen.
Viele Linux-Systeme verlassen sich auf klassische Sicherheitsmassnahmen wie:
Firewall-Regeln
Paket-Updates und Patching
Minimale Softwareinstallation
Zugriffskontrollen und SSH-Härtung
Diese Massnahmen sind wichtig und bilden die Grundlage jeder sicheren Linux-Umgebung. Sie verhindern jedoch nicht alle Angriffsszenarien. Angreifer nutzen häufig legitime Werkzeuge und Systemfunktionen («Living off the Land»), um sich im System unauffällig zu bewegen. Dadurch entsteht kaum klassische Malware-Signatur, die von traditionellen Sicherheitslösungen erkannt werden könnte.
Hier kommt Endpoint Detection and Response (EDR) ins Spiel. Moderne EDR-Lösungen überwachen das Verhalten eines Systems kontinuierlich und analysieren Aktivitäten wie:
Prozessstarts
Dateioperationen
Kernel-Interaktionen
Netzwerkverbindungen
Privilege Escalation
Statt nur bekannte Malware zu erkennen, identifizieren EDR-Systeme verdächtige Verhaltensmuster, die auf einen Angriff hindeuten können.
Das Linux-Rootkit bedevil (bdvl) nutzt eine ungewöhnliche Technik zur Persistenz und Tarnung: das Patchen des Dynamic Linkers. Während klassische LD_PRELOAD-Rootkits Einträge in /etc/ld.so.preload oder die Umgebungsvariable LD_PRELOAD manipulieren, verändert bedevil direkt den Dynamic Loader selbst. Dadurch umgehen die Angreifer viele Detection-Mechanismen, die lediglich nach bekannten LD_PRELOAD-Artefakten suchen.
Der Dynamic Linker (z. B. /lib64/ld-linux-x86-64.so.2) ist dafür verantwortlich, beim Start eines Programms alle benötigten Shared Libraries zu laden. Ein wichtiger Mechanismus ist dabei das Laden zusätzlicher Bibliotheken aus /etc/ld.so.preload. Rootkits missbrauchen diese Funktion häufig, um Systemfunktionen zu hooken und beispielsweise Prozesse oder Dateien zu verstecken.
Während der Installation sucht das Rootkit nach vorhandenen Linker-Binaries und ersetzt im jeweiligen Binary die Zeichenkette /etc/ld.so.preload durch einen neuen, zufällig generierten Pfad. Wichtig dabei: Die Länge der Zeichenkette bleibt gleich, sodass die Binary-Struktur unverändert bleibt.
inc/util/install/ldpatch/ldpatch.h (Source)
Der dynamische Linker verarbeitet die mit der Umgebungsvariable LD_PRELOAD angegebene gemeinsam genutzte Bibliothek oder den Inhalt der Datei ld.so.preload, bevor andere Bibliotheken oder Funktionen aufgerufen werden. Aus diesem Grund werden LD_PRELOAD-Bibliotheken immer zuerst geladen.
Sehen Sie sich die folgende strace-Ausgabe an, in der wir die aufgerufenen Systemaufrufe von ls betrachten:
Haben Sie etwas Ungewöhnliches entdeckt?
Wir haben die bösartige LD_PRELOAD-Datei gefunden! Der erste Zugriffs-Syscall versucht, die als neue LD_PRELOAD-Datei angegebene Datei zu laden, nämlich den Pfad, den das Rootkit im dynamischen Lader überschrieben hat. Da dieser Pfad während der Initialisierung des Rootkits zufällig generiert wurde, hatten wir zuvor davon keine Kenntnis.
Das Patchen des Dynamic Loaders ist eine eher unbekannte Technik, die unter Umständen von Incident-Respondern übersehen werden kann. Mehrere Mitglieder des Incident Response Teams der InfoGuard haben ihre Forschung zu Rootkits an internationalen Konferenzen präsentiert und bringen diese Erfahrung in die Analyse realer Incident-Fälle ein. Eine Paketintegritätsprüfung kann helfen, Manipulationen zuverlässig zu erkennen – auf RPM-basierten Systemen beispielsweise:
rpm -V glibc
Eine Veränderung des Dynamic Linkers würde typischerweise so erscheinen:
S.5....T. /lib64/ld-linux-x86-64.so.2
Für die forensische Analyse empfiehlt sich ausserdem der Einsatz statisch gelinkter Tools. Da diese keine externen Libraries laden, umgehen sie LD_PRELOAD-basierte Hooks und können versteckte Artefakte zuverlässig sichtbar machen.
Das Patchen des Dynamic Linkers zeigt, dass moderne Linux-Rootkits zunehmend versuchen, klassische Detection-Methoden zu umgehen, indem sie zentrale Komponenten der Laufzeitumgebung direkt manipulieren.
Linux ist und bleibt ein leistungsfähiges und grundsätzlich sicheres Betriebssystem – aber nur, wenn Sicherheitsannahmen regelmässig hinterfragt werden. Mit der zunehmenden Bedeutung von Linux in Cloud-, Server- und Container-Infrastrukturen wächst auch das Interesse von Angreifern.
Gerade bei schwer erkennbaren Techniken wie Rootkits, Malware und Botnets zeigt sich: Klassische Sicherheitsmassnahmen allein reichen nicht mehr aus. Entscheidend ist die Fähigkeit, Verhalten zu verstehen, Anomalien sichtbar zu machen und im Ernstfall schnell zu reagieren.
Neben grundlegenden Sicherheitsmassnahmen spielt Endpoint Detection and Response (EDR) eine immer wichtigere Rolle – als datenbasierte Grundlage, deren Wirksamkeit durch die fundierte Analyse erfahrener Incident-Response-Expert:innen voll ausgeschöpft wird.
Was EDR konkret leisten muss:
Verhaltensbasierte Erkennung statt Signaturdenken
Umfassende Transparenz über Prozesse, System- und Netzwerkaktivitäten
Schnelle Einordnung und Priorisierung von Sicherheitsvorfällen, inklusive Ableitung gezielter Massnahmen
Entscheidend ist letztlich die Fähigkeit, Abweichungen vom Normalzustand sichtbar zu machen und daraus zeitnah die richtigen Massnahmen abzuleiten.
Bleiben Sie über aktuelle Themen der digitalen Sicherheit informiert: Freuen Sie sich auf relevante Entwicklungen, fundierte Einordnungen und die wichtigsten Neuigkeiten aus der Welt der Cybersicherheit. Abonnieren Sie unsere Blog-Updates und lassen Sie die neuesten Insights direkt in Ihr Postfach flattern – praxisnah und am Puls der Zeit.
Bildlegende: mit KI generiertes Bild