Linux系统是梦寐以求的目标。它是许多应用程序后端和服务器的主机操作系统,并支持各种物联网(IoT)设备。但是,对运行在该系统上的设备的保护仍然不够。“Linux系统恶意软件一直被严重忽视,”VMware安全威胁情报高级主管GiovanniVigna说。“由于大多数云主机运行Linux,因此破坏基于Linux的平台可能允许攻击者访问大量资源或通过勒索软件和擦除器恶意软件造成重大损害。”近年来,网络犯罪分子和民族国家的攻击都以基于Linux的系统为目标。根据VMware最近的一份报告,其入侵通常针对企业和政府网络,或获取对关键基础设施的访问权限。他们利用了弱身份验证、未修补的漏洞和错误配置的服务器等因素。针对Linux系统的恶意软件不仅变得越来越普遍,而且越来越多样化。Intezer安全公司研究了各种恶意软件的代码唯一性,以了解开发人员的创新能力。该公司发现,与2020年相比,2021年大多数恶意软件类别的创新都有所增加,包括勒索软件、银行木马和僵尸网络。一份报告称:“针对Linux系统的恶意软件创新的增加可能与组织越来越多地转向云环境有关,云环境通常依赖Linux系统运行。”“针对Linux系统的恶意软件创新正在接近基于Windows系统的恶意软件级别。”随着Linux系统上的恶意软件不断发展,组织需要关注最常见的攻击,并在每一步都不断加强安全性。“而LinuxCofense首席安全威胁顾问罗尼·托卡佐夫斯基(RonnieTokazowski)说:“系统可能比其他操作系统更安全,重要的是要注意,操作系统的安全取决于其最薄弱的环节。”以下是六种攻击类型针对Linux系统需要注意的问题:1.勒索软件以虚拟机镜像为目标近年来,勒索软件团伙开始对Linux系统环境进行窥探,恶意软件样本质量参差不齐,但像Conti、DarkSide、REvil、Hive等组织是迅速提高他们的技能。通常,针对云环境的勒索软件攻击是精心策划的。VMware表示,网络罪犯在开始加密文件之前会尝试完全禁用受害者的系统。最近,RansomExx/Defray777和Conti等组织开始瞄准用于处理虚拟环境中的工作负载的Linux系统主机映像。“这一令人担忧的新发展表明攻击者如何在云环境中寻找最有价值的资产以造成最大的破坏,”VMware在报告中写道。加密托管在ESXiHypervisor上的虚拟机映像对这些群体特别有吸引力,因为他们知道它们会对系统的运行产生巨大影响。“勒索软件领域的一个共同主题是开发专门用于加密虚拟机及其托管环境的新二进制文件,”安全公司Trellix的一份报告称。2.Cryptojacking呈上升??趋势Cryptojacking是最常见的Linux系统恶意软件类型,因为它可以赚快钱。“该软件的目的是利用计算资源为攻击者生成加密货币,”Tokazowski说,通常是门罗币。第一次引人注目的攻击发生在2018年,当时特斯拉的公共云成为受害者。据RedLock云监控公司称,“黑客破坏了特斯拉的Kubernetes控制台,该控制台没有密码保护。”“在Kubernetes单元中,访问凭证暴露在特斯拉的亚马逊网络服务(AWS)环境中,该环境包含一个AmazonS3(亚马逊简单存储服务)存储桶,其中包含遥测等敏感数据。”Cryptojacking变得越来越普遍,其中XMRig和Sysrv已成为最知名的加密矿工软件。根据SonicWall的一份报告,与2020年相比,2021年的攻击次数将增加19%。”对于政府和医疗保健部门的客户,增长达到三位数,加密劫持分别增长了709%和218%,”报告称。来自安全公司的统计数据显示,每个客户网络平均遭受338次加密劫持攻击.Tokazowski说,为了锁定受害者,许多团伙使用默认密码列表、利用bash漏洞,或者故意瞄准和利用安全性较低和配置错误的系统中的漏洞。“其中一些错误配置可能涉及目录遍历攻击、远程文件包含攻击、或利用默认安装的错误配置程序,”他说。3.三类恶意软件(XorDDoS、Mirai和Mozi)以物联网为目标物联网几乎都运行在基于Linux的系统上,这些设备的简单性使它们很容易成为潜在的受害者。CrowdStrike报告称,与2020年相比,2021年针对在Linux系统上运行的小工具的恶意软件增加了35%。这三类恶意软件占总数的22%:XorDDoS、Mirai和Mozi。该恶意软件遵循相同的感染设备模式,将这些设备聚合成僵尸网络,然后使用这些设备执行DDoS攻击。Mirai是一种Linux系统木马,它利用Telnet和SecureShell(SSH)暴力攻击来破坏设备,被认为是许多Linux系统DDoS恶意软件的共同祖先。当它的源代码在2016年公开时,出现了几个不同的版本。此外,恶意软件作者还从Mirai特洛伊木马中吸取了教训,并将其功能应用到他们自己的特洛伊木马中。CrowdStrike指出,与2021年第一季度相比,2022年第一季度针对英特尔Linux系统编译的Mirai恶意软件的不同版本数量增加了一倍以上,其中针对32位x86处理器的不同版本数量增加最多。报告称:“Mirai变种木马不断进化,利用未修补的漏洞扩大其攻击范围。”另一个流行的Linux系统木马是XorDDoS。微软发现,该威胁在过去六个月中上升了254%。XorDDoS木马利用自己为ARM、x86和x64Linux系统架构编译的变体来增加成功感染目标系统的可能性。与Mirai木马一样,XorDDoS木马也使用暴力攻击来访问其目标,一旦进入目标,它就会扫描打开端口2375的Docker服务器,以在不输入密码的情况下获得对主机的远程root访问权限。Mozi恶意软件以某种类似的方式破坏其目标,同时阻止SSH和Telnet端口以防止其他恶意软件取而代之。它创建了一个点对点僵尸网络,并使用分布式哈希表(DHT)系统将其与命令和控制服务器的通信隐藏在合法的DHT流量后面。根据Fortinet的《全球安全威胁状况报告》(全球威胁态势报告),最成功的僵尸网络活动一直在持续进行。这家安全公司发现恶意软件作者付出了很多努力来确保他们的感染持续存在,这意味着重启设备不会解除黑客对受感染系统的控制。4.国家支持的攻击针对Linux环境监视民族国家组织的安全研究人员注意到,这些组织越来越多地以Linux环境为目标。“随着俄乌战争的爆发,已经有大量的Linux系统恶意软件被攻击者使用,包括wipers,”Intezer的安全研究员RyanRobinson说。开战前,据Cyfirma网络安全公司称,近日,俄罗斯APT组织Sandworm对英美机构的Linux系统进行了攻击。ESET是密切关注冲突及其网络安全影响的公司之一。ESET高级恶意软件研究员Marc-étienneLéveillé表示:“一个月前,我们正在研究用于攻击乌克兰能源供应商的Industroyer2恶意软件。”“这次攻击包括使用SSH传播Linux和Solaris系统蠕虫,并且可能涉及窃取凭证。这是一次非常有针对性的攻击,其明显的目标是破坏数据库和文件系统数据,”根据ESET公司的一份报告.,Linux系统擦除器恶意软件“可以通过使用shred命令(如果可用)或简单地使用dd命令(使用if=/dev/random)来破坏连接到系统的磁盘的全部内容”。“如果连接了多个磁盘,数据删除过程会并行进行以加快速度。”ESET将恶意软件归咎于SandstormAPT组织,该组织在2016年使用Industroyer恶意软件切断了乌克兰的电力。至于其他民族国家攻击者,微软和Mandiant注意到多个国家支持的组织一直在利用著名的Log4jWindows和Linux系统上的漏洞,以获取对目标网络的访问权限。5.无文件攻击难以检测AT&T外星人实验室的安全研究人员发现,包括TeamTNT组织在内的多个攻击者已经开始使用Ezuri,这是一种Golang语言的开源工具。攻击者使用Ezuri来加密恶意代码。解密后,其工作负载直接在内存中执行,不会在磁盘上留下任何痕迹,使得这些攻击很难被防病毒软件检测到。与此技术相关的主要组织TeamTNT以配置不当的Docker系统为目标,目的是安装DDoS机器人和加密矿工。6.Linux系统恶意软件针对Windows系统设备Linux系统恶意软件还可以通过Windows子系统forLinux(WSL)利用Windows系统设备,这是Windows系统的一项功能,允许Linux系统二进制文件在Windows系统上运行。在操作系统本地运行。WSL必须手动安装或通过加入WindowsInsider程序来安装,但具有提升访问权限的攻击者可以安装该功能。Qualys云安全公司研究了利用WSL功能对基于Windows的设备进行攻击或持久化的可行性。到目前为止,该公司已经分析了两种技术(即代理执行和安装实用程序)并得出结论认为这两种技术都非常可行。据该公司的安全专家称,想要防范此类攻击的组织可以禁用虚拟化并禁用WSL功能的安装。这也有助于不断检查正在运行的进程。攻击者还将Windows系统工具的功能移植到Linux系统中,旨在针对更多平台。一个例子是VermilionStrike,它基于CobaltStrike(一种流行的Windows系统渗透测试工具),但也可用于Windows和Linux系统。VermilionStrike工具为攻击者提供远程访问功能,包括文件操作和shell命令执行。该工具已被用于针对电信公司、政府机构和金融机构,攻击者的主要目的是从事间谍活动。“VermilionStrike工具不太可能是最后一个针对Linux系统的CobaltStrikeBeacon工具,”Intezer的研究人员在他们的报告中说。防范针对Linux环境的恶意软件当系统管理员和开发人员与时间和最后期限赛跑时,安全性可能是最薄弱的环节。例如,开发人员可能会盲目信任来自社区的代码;他们从StackOverflow复制/粘贴代码,在克隆GitHub存储库后快速运行软件,或者从DockerHub直接将应用程序部署到他们自己的生产环境。机会主义攻击者利用这种“注意力经济”。他们会在Docker容器中添加加密矿工,或者创建与常用库名称几乎相同的开源包,并利用一些开发人员偶尔出现的拼写错误。“通过开放部署Docker和Kubernetes,它非常有吸引力:粗心的人会将他们部署的容器开放给外界,使这些系统很容易被其他人利用并用于后续攻击或其他货币化活动(例如门罗币挖矿)桥头堡,”VMware的Wigner说。“我是开源软件和文化的狂热传播者和倡导者,但真正困扰我的一件事是公共软件存储库中涉及的信任链的脆弱性。”NucleusSecurity漏洞研究工程师瑞安·克里贝拉尔(RyanCribelar)表示。“当然,这不是Linux系统特有的问题,例如潜伏在PyPi或NPM存储库中的恶意库,无疑会让Linux系统管理员和安全团队彻夜难眠。”配置错误也是Linux系统服务器的一大问题。问题,它可能发生在基础设施的多个地方。Intezer的Robinson说:“通常,防火墙或安全组配置错误以扩展对更广泛互联网的访问,从而允许外部访问在Linux系统服务器上部署应用程序。”应用程序经常配置错误,允许用户在没有身份验证或使用默认凭据的情况下访问。“根据错误配置的应用程序,攻击者将能够窃取信息或在Linux服务器上运行恶意代码,”罗宾逊补充道。“常见的例子包括配置错误的Docker守护进程,它可能允许攻击者运行他们自己的容器,或者配置错误的应用程序(例如ApacheAirflow工具)会泄露密码和客户信息。”Robinson补充说,默认配置通常不等同于安全配置。CrowdStrike恶意软件研究高级主管JoelSpurlock看到的另一个问题是打补丁。组织“要么没有,要么不想让设备保持最新状态,”他说。应该定期打补丁,像EDR和零信任这样的流行语应该出现在你的词汇表中。针对Linux环境的恶意软件在消费设备和服务器、虚拟环境和专有操作系统中迅速增长,因此保护所有这些领域的一些必要安全措施需要集中注意力和仔细规划。
