国外安全媒体的一篇文章提到了Linux系统的安全问题。这篇文章也可以用来纠正Linux在中国牢不可破的神话。过去,它很少受到大规模攻击。由于其市场份额,随着其市场份额的增加,被攻击的可能性逐渐增加,因此本文对提高整体网络安全意识具有一定的参考意义。组织需要像网络中的任何其他端点一样保护、监控和管理Linux,而网络犯罪分子历来不太关注Linux系统。事实上,Linux曾经是IT中受攻击最少的平台之一,但这种情况正在迅速改变。今天,我们看到旨在攻击Linux系统的恶意软件,通常采用可执行和可链接格式(ELF)。Linux正成为攻击者更受欢迎的目标,因为它运行许多网络的后端系统以及用于物联网设备和关键任务应用程序的基于容器的解决方案。Linux系统是一种流行的恶意软件传递机制。虽然不是最流行的,但区别在于HTML和Javascript,但不要认为它们可以忽略。基于Linux的攻击仍在不断发生。恶意软件交付机制当不良行为者发现他们可以利用的漏洞时,他们的下一步通常是分发恶意软件以实现他们的目标。在决定使用哪个平台时,黑客有多种方法可以在不引起注意的情况下将恶意软件引入系统。这被称为“黑客的选择”。他们还可以找到方法在这些系统中停留更长时间而不被注意,这就是我们在高级持续犯罪(APC)中看到的情况。研究人员观察到,HTML是过去六个月中最常见的恶意软件传递方式,它与Javascript之间的差异约为10%,其中HTML在5月份创下新高。这并不特别令人震惊。似乎除XML之外的每个平台在3月份略有增加,4月份出现下降,这在很大程度上是一致的。这并不奇怪,因为大多数恶意软件开发人员只使用并专注于一种恶意软件交付平台。两个领导者是HTML和Javascript,但LNK也做得很好。由于存在用于分发带有LNK扩展的恶意软件的恶意框架,执行此类攻击现在要简单得多。LNK是一个shell项,通过指向它可以打开不同的程序、文件夹或文件。一种称为eXcelForumla或XF的Excel公式病毒会感染电子表格。在这种情况下,CoinMiner被识别为在用户不知情的情况下执行活动的特洛伊木马。建立远程访问连接、收集系统信息、拦截键盘输入、向受感染系统注入更多恶意软件、下载/上传文件、发起拒绝服务(DoS)攻击、运行/终止进程等都是其中的一些操作。Linux安全性不会受到损害仅仅因为Linux不是最流行的恶意软件传递方法之一并不意味着它不会产生影响。今天大多数基于Linux的恶意软件攻击都与加密挖掘有关。此外,使用这种交付方法的攻击者经常使用它来进行攻击、自动进行身份验证攻击,或者即使在发现和利用漏洞后仍继续进行攻击。如果您查看Linux平台上最普遍的威胁,将一般Linux活动的数量与我们所了解的基于Linux的恶意软件攻击进行比较时,毫不奇怪,自2016年以来一直存在的僵尸网络Mirai名列榜首已经存在,但六年后,仍在使用、利用和更新。第二种最常见的ELF类型,BitCoinMiner,反映了最近的趋势。下一组威胁分散且数量较少,包括海啸、代理和DDoS。然而,小数字并不总是等同于低影响。因此,让我们看一下其他ELF检测,它们可以提供有关使用Linux的其他事物的更多信息。虽然Miner样本显然是迄今为止最常见的ELF检测,但一些勒索软件——例如AvosLocker、Hive和Vigorf——也使用Linux。AvosLocker是一种众所周知的勒索软件,通常作为勒索软件即服务(RaaS)在暗网上分发和销售。尽管AvosLocker于2021年7月首次被发现,但事实证明,组织和企业很难对其进行打击,因为它能够被犯罪分子视为合适的目标并进行修改。另一种名为Vigorf的勒索软件变种在2022年3月开始流行,就数量而言,它在6月超过了Hive(勒索软件)和矿工恶意软件。此外,2019年发现的基于Golang的恶意软件Stealthworker仍然存在,尽管数量非常少。显然,忽视基于Linux的恶意软件攻击对网络安全状态的潜在影响是不明智的。市场份额的大小不一定与潜在危害相称。在保护您的网络时,您需要了解所有威胁并做好防御所有威胁的准备。好消息是,在大多数情况下,如果在其中一个系统上发现恶意软件,SOC团队可以遏制受感染的单元,前提是他们可以近乎实时地检测并做出响应。但这通常需要团队识别恶意功能,这很难做到,因为恶意软件开发人员擅长逃避检测。这是一个很好的提醒,网络卫生的基础知识与数字风险保护(DRPS)和综合安全网格方法等服务相结合,可以大大帮助组织控制恶意软件,无论其交付机制如何。
