研究人员发现,更高级的攻击团体正在创建工具和平台来针对基于Linux的设备。因此,本文希望分析对Linux安全性的误解,并讨论组织如何更好地保护他们的Linux计算机。在过去的八年中,卡巴斯基全球研究与分析观察到越来越多的APT组织以运行Linux软件的设备为目标。事实上,人们普遍认为Linux操作系统默认是安全的,不易受到恶意代码的攻击。这种误解主要是由于这样一个事实,即过去网络犯罪分子针对Linux桌面和服务器创建的恶意软件和相关攻击较少,这与许多报告的针对Windows的攻击相反。不过,研究人员认为,虽然Linux还没有像Windows系统那样遭遇过多的病毒、蠕虫和特洛伊木马,但它仍然是一个有吸引力的目标。APT组织瞄准Linux的关键因素是容器化趋势推动了Linux的广泛采用。向虚拟化和容器化的转变导致大多数企业使用Linux来完成一些日常任务,并且这些设备通常可以从Internet访问,并且可以作为攻击者的初始切入点。此外,一些IT、电信公司和政府使用的Linux和macOS设备多于Windows系统,这让攻击者别无选择。卡巴斯基的遥测显示,服务器是最常见的攻击目标,其次是企业IT和网络设备,然后是工作站。在某些情况下,攻击者还使用受感染的Linux路由器在同一网络上对Windows发起攻击。最终结果是攻击者可以访问Linux服务器和运行Windows或可能连接的macOS的端点上的数据。不断发展的威胁行为者对Linux恶意软件进行更改以针对Linux设备。首次编写恶意软件时,攻击者的目标是操纵网络流量。例如,CloudSnooper黑客组织使用面向服务器的Linux内核rootkit,旨在操纵Netfilter流量控制功能以及跨目标防火墙的命令和控制通信。和钡(APT41)有相同的目标。该组织于2013年开始以游戏公司为目标以获取经济利益,随着时间的推移,它开发了新工具并追求更复杂的目标,使用名为MessageTap的Linux恶意软件拦截来自电信提供商基础设施的通信。短消息。此外,针对Linux的APT攻击者经常使用基于Linux的服务器和桌面上可用的合法工具(例如,编译代码或运行Python脚本的能力),导致在日志中留下的攻击痕迹更少,进一步确保特权可以维护。在具体操作上,一般是感染物联网和网络盒子,或者替换被感染服务器上的合法文件。因为这些设备/内容不经常更新,并且在许多情况下没有安装防病毒软件。许多企业并不太担心网络攻击者拥有为Linux编写的PHP后门、rootkit和漏洞利用代码,这是一个非常危险的信号。虽然Linux不像Windows那样频繁地成为目标,但研究人员建议组织采取措施保护其环境免受此类攻击。为您的软件保留一份可信来源列表。仅安装来自官方商店的应用程序。检查网络设置并避免不必要的网络应用程序。从Linux发行版中正确配置其防火墙以过滤流量并存储主机的网络活动。
