2020年是Linux恶意软件大流行年吗?

它在安全性方面的声誉意味着人们通常认为Linux不太容易受到经常困扰Microsoft Windows系统的各种威胁的攻击。大部分认为的安全性来自相对较少的Linux系统,但是网络罪犯是否开始看到选择质量而不是数量的价值?

Linux威胁格局正在发生变化

卡巴斯基(Kaspersky)和黑莓(Blackberry)等公司的安全研究人员以及联邦调查局(FBI)和国家安全局(NSA)等联邦机构警告说,恶意软件作者越来越关注Linux。

现在,该操作系统被视为通往有价值数据(例如商业秘密,知识产权和人员信息)的门户。 Linux服务器还可以用作感染Windows,macOS和Android设备的更广泛网络的切入点。

即使不是台式机或笔记本电脑上运行的操作系统,您的数据也迟早会公开给Linux。您的云存储,VPN和电子邮件提供商,以及您的雇主,健康保险公司,政府服务机构或大学,几乎可以肯定将Linux作为其网络的一部分运行,并且您可能拥有或将拥有基于Linux的Internet Of物联网(IoT)设备现在或将来。

在过去的12个月中,发现了多种威胁。一些已知的Windows恶意软件已移植到Linux,而另一些恶意软件却在服务器上未被发现已经有将近十年的时间,这表明安全团队低估了该风险。

许多系统管理员可能会认为他们的组织不够重要,无法成为目标。但是,即使您的网络不是一个大赢家,您的供应商或客户也可能更具诱惑力,例如,通过网络钓鱼攻击来访问您的系统可能是渗透其系统的第一步。因此,值得评估如何保护系统

2020年发现Linux恶意软件

这是我们对去年发现的威胁的汇总

RansomEXX木马

卡巴斯基研究人员在11月透露,该木马已作为可执行文件移植到Linux。受害者留有使用256位AES密码加密的文件,以及有关联系恶意软件作者以恢复其数据的说明。

Windows版本在2020年攻击了一些重要目标,包括柯尼卡美能达,得克萨斯州交通运输部和巴西法院系统。

RansomEXX专为每个受害者量身定制,其组织名称包含在加密文件扩展名和赎金记录中的电子邮件地址中。

Gitpaste-12

Gitpaste-12是一种新型蠕虫,可感染运行Linux的x86服务器和IoT设备。它因使用GitHub和Pastebin下载代码以及12种攻击方法而得名。

该蠕虫可以禁用AppArmor,SELinux,防火墙和其他防御功能,并可以安装加密货币矿工。

暴风雨

自2019年5月以来在Windows上广为人知,该僵尸网络的新版本已于9月被发现,它能够攻击Linux。它解除了Linux的内存不足杀手的束缚,使其保持运行状态,并杀死了可能阻止其工作的安全进程。

Linux版本具有额外的功能,例如使用SSH查找目标,利用Steam游戏服务以及抓取色情网站来欺骗广告点击。

它还具有感染通过Android调试桥(ADB)连接的Android设备的味道。

Drovorub

FBI和NSA在8月的警告中强调了该rootkit。它可以规避管理员和防病毒软件,运行root命令,并允许黑客上传和下载文件。根据这两个机构的说法,Drovorub是Fancy Bear的工作,Fancy Bear是为俄罗斯政府工作的一群黑客。

很难检测到感染,但是至少升级到3.7内核并阻止不受信任的内核模块应该有助于避免感染。

路西法

Lucifer恶意加密挖掘和分布式拒绝服务机器人首次出现在6月的Windows上,8月出现在Linux上。 Lucifer的Linux化身允许基于HTTP的DDoS攻击以及TCP,UCP和ICMP攻击。

Penquin_x64

研究人员在五月发现了这种新的Turla Penquin恶意软件家族。这是一个后门,攻击者无需获取root即可拦截网络流量并运行命令。

卡巴斯基(Kaspersky)发现该漏洞利用于7月在美国和欧洲的数十台服务器上运行。

土岐

Doki是一种后门工具,主要针对设置较差的Docker服务器来安装加密矿机。

虽然恶意软件通常会联系预定的IP地址或URL来接收指令,但Doki的创建者已经建立了使用Dogecoin加密区块链API的动态系统。这使得拆除命令基础结构变得困难,因为恶意软件操作员仅需一次狗狗币交易就可以更改控制服务器。

为了避免出现Doki,您应该确保正确配置了Docker管理界面。

特技机器人

TrickBot是一种银行木马,用于勒索软件攻击和身份盗用,也已从Windows迁移到Linux。 TrickBot背后的小组使用的工具之一Anchor_DNS出现在7月的Linux版本中。

Anchor_Linux充当后门,通常通过zip文件传播。该恶意软件设置了cron任务,并通过DNS查询与控制服务器联系。

相关:如何发现网络钓鱼电子邮件

巨头

通常,Tycoon Trojan作为受损的Java运行时环境在zip归档文件中传播。研究人员在6月份发现它可以在中小企业和教育机构的Windows和Linux系统上运行。它加密文件并要求赎金。

云窥探者

该rootkit劫持了Netfilter,使其在正常的网络流量中隐藏命令和数据盗窃,从而绕过防火墙。

该系统于2月在Amazon Web Services云上首次发现,可用于控制任何防火墙后的任何服务器上的恶意软件。

PowerGhost

同样在2月,趋势科技的研究人员发现PowerGhost已从Windows过渡到Linux。这是一种无文件的加密货币矿工,可以通过增加磨损来减慢系统速度并降低硬件质量。

Linux版本可以卸载或杀死反恶意软件产品,并使用cron任务保持活动状态。它可以安装其他恶意软件,获得root访问权限,并使用SSH在网络中传播。

弗里茨·青蛙

自从2020年1月首次确定该对等(P2P)僵尸网络以来,已经发现了20个以上的版本。受害者包括政府,大学,医疗中心和银行。

Fritzfrog是无文件恶意软件,是一种威胁,它存在于RAM中而不是硬盘中,并且利用现有软件中的漏洞来完成其工作。它使用服务器而不是服务器来发送加密的SSH通信,以协调不同机器之间的攻击,自我更新并确保工作均匀地分布在整个网络中。

尽管它是无文件的,但Fritzfrog确实使用公共SSH密钥创建了后门以允许将来访问。然后,受感染计算机的登录信息将通过网络保存。

强大的密码和公共密钥身份验证可抵御这种攻击。更改SSH端口或关闭SSH访问(如果不使用它)也是一个好主意。

FinSpy

FinFisher出售FinSpy(与监视记者和激进分子有关),作为针对政府的现成监视解决方案。国际特赦组织于2019年11月发现Windows操作系统和Android上的恶意软件的Linux版本。

FinSpy允许窃听流量,访问私有数据以及从受感染的设备录制视频和音频。

2011年,当穆巴拉克总统被推翻后,示威者在残酷的埃及安全部门办公室找到了购买FinSpy的合同,这引起了公众的注意。

是时候让Linux用户开始认真考虑安全性了吗?

尽管Linux用户可能没有Windows用户那样容易受到许多安全威胁的威胁,但是毫无疑问,Linux系统所拥有的数据的价值和数量使该平台对网络罪犯更具吸引力。

如果FBI和NSA担心,那么运行Linux的个体商人或小型企业现在应该开始更加注意安全性,如果他们希望避免在将来对大型组织的攻击中造成附带损害。

以下是我们的技巧,可保护您免受越来越多的Linux恶意软件的侵害:

  • 不要运行来自未知来源的二进制文件或脚本。
  • 安装安全软件,例如防病毒程序和Rootkit检测器。
  • 使用curl等命令安装程序时请小心。在您完全了解其功能之前,请不要运行该命令, 请在此处开始命令行研究
  • 了解如何正确设置防火墙。它应该记录所有网络活动,阻止未使用的端口,并通常将对网络的访问降至最低限度。
  • 定期更新系统;将安全更新设置为自动安装。
  • 确保更新是通过加密连接发送的。
  • 为SSH和密码启用基于密钥的身份验证系统以保护密钥。
  • 使用两因素身份验证(2FA),并将密钥保留在Yubikey等外部设备上。
  • 检查日志以获取攻击证据。