上接《针对Linux发起攻击的14个APT组织(上)》Tsunami后门Tsunami(又名Kaiten)是一个UNIX后门,自2002年首次在野外被发现以来,已被多个攻击者使用。源代码几年前就公开了,现在有70多个变体。源代码可以在各种嵌入式计算机上顺利编译,并且有适用于ARM、MIPS、Sparc和Cisco4500/PowerPC的版本。海啸仍然是对基于linux的路由器、DVR和不断增加的物联网计算机的攻击。2016年,LinuxMint黑客使用了Tsunami的一个变体,其中一个未知的攻击元素破坏了LinuxMint发行版ISO以包含一个后门。研究人员还观察到使用Tsunami后门针对Linux上的许多加密货币用户进行精确攻击。Turla长期以来一直将Windows用户作为恶意软件“Turla”(也称为Snake或Uroboros)。2017年,Turla将触角伸向Mac用户,伪装成AdobeFlash安装程序欺骗用户。.据安全网站Malwarebytes报道,更新后的代码允许Snake伪装成Adob??eFlash安装程序,打包在一个名为“InstallAdob??eFlashPlayer.app.zip”的ZIP存档中。运行zip文件,安装程序的签名将变为“AddySymonds”而不是Adob??e。Mac电脑目前引入的Gatekeeper安全技术可以确保用户安装由开发者签名的应用程序,以防止一些外部恶意软件。Apple已撤销此假证书。Turla与其他APT组织一样,多年来对其工具集进行了重大更改。直到2014年,研究人员看到的所有与Turla一起使用的恶意软件样本都是为32位或64位版本的Windows设计的。然后在2014年12月,研究人员发布了一份关于企鹅Turla的报告,企鹅Turla是Turla存储库中的一个Linux组件。这是一个秘密后门,不需要提升权限,即管理员或root权限。即使对系统具有有限访问权限的人启动它,后门也可以拦截传入的数据包并运行攻击者向系统发出的命令。它也很难被发现,所以如果它安装在受感染的服务器上,它可能会在那里逗留很长时间。对PenguinTurla的进一步研究表明,它的起源可以追溯到20世纪90年代中期的月光迷宫行动。5月,来自Leonardo的研究人员发布了一份关于Penguin_x64的报告,Penguin_x64是PenguinTurlaLinux后门的一个先前未记录的变体。根据这份报告,研究人员生成了大规模检测Penquin_x64感染主机的网络探测器,使研究人员能够在2020年7月之前在欧洲和美国发现数十台受感染的服务器。研究人员认为Turla可能已经修改了Penguin以执行超出传统的操作情报收集,基于GNU/Linux工具的公共文档。TwoSailJunk2020年1月10日,研究人员发现了一种名为LightSpy的恶意软件,该恶意软件旨在针对香港用户。研究人员暂将APT组织命名为“TwoSailJunk”。虽然在公开报道中,研究人员认为TwoSailJunk的公开目标是针对iOS,但根据追踪分析,TwoSailJunk可能还支持Windows、Linux。全新的WellMess木马7月16日,美国网络安全与基础设施安全局(CISA)、英国国家网络安全中心(NCSC)、加拿大通信安全局(CSE)和美国国家安全局(NSA))发布联合报告称,APT29组织利用WellMess系列工具对美国、英国和加拿大的新冠病毒研究和疫苗研发相关机构发起攻击。值得注意的是,报告中提到的“WellMess”是一个全新的APT组织。2019年,360SecurityBrain捕获并发现了WellMess组织的一系列APT攻击活动,并将其命名为“老鼠”,单独编号为APT-C-42。更惊心动魄的是360安全大脑透露,自2017年12月以来,WellMess组织通过网络渗透和供应链攻击行动,针对国内某网络基础设施服务商发起定向攻击,2020年3月开始,卡巴斯基实验室研究人员开始积极追踪与WellMess关联的新C2服务器恶意软件,这意味着潜在的大规模新活动已经开始。该恶意软件于2018年7月首次被JPCERT发现,此后一直零星活跃。根据痕迹分析,WellMess可能与CozyDuke(也称为APT29)有关,攻击者的活动目前主要集中在医疗保健行业,但研究人员无法证实这两种说法。WellMess是一种用.NET和Go(Golang)编写的远程访问木马,可以交叉编译以兼容Windows和Linux。WildNeutron2015年,研究人员与赛门铁克合作发表了一项关于WildNeutron的研究,他们将其称为Morpho或Butterfly。该组织因2012-2013年对Twitter、微软、苹果和Facebook的攻击而声名鹊起,是研究人员所见过的最难以捉摸、最隐秘和最活跃的组织之一。他们的工具库包括许多有趣和创新的工具,例如LSA后门或IIS插件,以及基于零日和物理的部署。正如预期的那样,WildNeutron还在一些已知的攻击中使用了自定义的Linux后门。早在2013年,卡巴斯基实验室就发现该黑客组织(也称为“Jripbot”和“Morpho”)曾对苹果、Facebook、Twitter和微软等多家知名公司发起过攻击。攻击曝光后,该黑客组织沉寂了近一年时间,随后在2013年末和2014年初继续发动攻击,并一直持续到2015年。攻击者使用零日漏洞、多平台恶意软件等多种方式技术,因此卡巴斯基实验室研究人员认为这是一个强大的网络间谍组织,其攻击可能出于经济原因。据卡巴斯基实验室的研究人员称,ZebrocyAPT组织不断更新其恶意软件,使其越来越难以防御其攻击。Zebrocy是研究人员自2015年以来一直在跟踪的自定义恶意软件。使用该恶意软件的组织最初是Sofacy的一个独立子组,但与其他APT组织有相似之处和重叠之处。该组织使用多种语言开发了恶意软件,包括Delphi、AutoIT、.NET、C#、PowerShell和Go。Zebrocy主要针对国内和偏远地区的中亚政府相关组织。该组织广泛使用鱼叉式网络钓鱼来破坏Windows端点。然而,它的后门被配置为通过端口80直接与分配了IP的Web服务器主机通信。而且该组织似乎更喜欢将Linux作为其基础架构的一部分,特别是在DebianLinux上运行的Apache2.4.10。保护Linux系统的建议Linux系统不受保护的主要原因之一是使用Linux而不是更流行(也更有针对性)的Windows会产生一种错误的安全感。尽管如此,研究人员希望本文足以让您开始认真地保护基于Linux的计算机。第一个建议是维护一个软件的可信来源列表,就像Android或iOS应用程序的推荐方法一样,并且只安装来自官方存储库的应用程序。在Linux系统中,研究人员享有更多的自由,例如,即使您使用的是Ubuntu,也不受Canonical自己的存储库的限制。任何.DEB文件,甚至GitHub上的应用程序源代码都适合您。但是请明智地选择这些来源,不要盲目地遵循“从我们的服务器运行此脚本进行安装”之类的说明。还请注意从这些受信任的存储库获取应用程序的安全方式,更新应用程序的通道必须使用HTTPS或SSH协议加密。除了您对软件来源及其传播渠道的信任外,及时更新软件也很重要。大多数现代Linux发行版都可以为您做到这一点,但是一个简单的cron脚本将帮助您保持更好的保护并在开发人员发布补丁后立即获得所有补丁。其次,研究人员建议检查网络相关设置,使用诸如“netstat-a”之类的命令可以过滤掉主机上所有不必要的开放端口。避免使用不需要或不使用的Web应用程序,从而最大程度地减少Web使用。此外,强烈建议您从Linux发行版正确设置防火墙以过滤流量并存储主机的网络活动。最好不要直接上网,通过NAT上网。为了继续执行与网络相关的安全规则,研究人员建议至少使用密码保护本地存储的SSH密钥(用于网络服务)。在更“偏执”的模式下,您甚至可以将密钥存储在外部受保护的存储中,例如来自任何受信任提供商的令牌。在连接的服务器端,如今为SSH会话设置多因素身份验证并不困难,例如发送到您手机的消息或身份验证器应用程序等其他机制。因此,研究人员的建议涵盖软件来源、应用程序分发渠道、避免不必要的网络消耗以及加密密钥的保护。研究人员推荐的另一种用于监控在文件系统级别未发现的攻击的方法是保存和分析网络活动日志。作为攻击模型的一部分,您需要考虑尽管采取了上述所有措施,攻击者仍可能破坏您的保护措施的可能性。考虑到攻击者在系统上的持续存在,请考虑下一步的保护措施。他们可能会进行更改,以便能够在系统重启后自动启动木马。因此,您需要定期监控主要配置文件和系统二进制文件的完整性,以防止文件病毒感染。上面提到的用于监控网络通信的日志在这里完全适用:Linux审计系统收集系统调用和文件访问记录,“osquery”等其他守护进程也可以用于相同的任务。最后,您计算机的物理安全性也很重要,如果您的笔记本电脑落入坏人之手并且您未能采取措施保护它免受这种攻击环境的影响,后果可能是灾难性的。对于物理安全,应考虑全盘加密和安全启动机制。具有Linux安全性的专用解决方案可简化保护任务,Web威胁防护可检测恶意和钓鱼网站,Web威胁防护可检测传入流量中的网络攻击,行为分析可检测恶意活动,而设备控制可管理连接的设备并访问它们。研究人员的最终建议与Docker有关,这不是理论上的威胁:Docker感染是一个非常现实的问题。Docker本身不提供安全性。有些Docker与主机完全隔离,但并非所有网络和文件系统接口都存在于那里,大多数情况下物理环境与Docker环境之间存在某种联系。因此,您可以使用允许在开发过程中增加安全性的安全解决方案。卡巴斯基混合云安全包括与Jenkins等CI/CD平台的集成,通过脚本在不同阶段扫描Docker镜像中的恶意元素。为了防止供应链攻击,可以使用Docker、图像以及本地和远程存储库的按访问扫描(OAS)和按需扫描(ODS)。命名空间监控、灵活的基于掩码的扫描范围控制以及扫描Docker不同层的能力有助于实施最安全的防御措施。请记住,除了应用研究人员提到的所有措施外,您还应该定期审核和检查所有生成的日志和任何其他消息。否则您可能会错过被攻击的迹象。最后,如果你是一名安全专业人士,你可以不时地进行系统渗透测试。总结建立可信软件源列表,避免未加密的更新渠道;不要从不受信任的来源运行二进制文件和脚本;确保您的更新程序有效;设置自动安全更新;设置防火墙以确保它记录网络活动,阻止所有不使用的端口,并最大限度地减少网络开销;使用基于密钥的SSH身份验证,使用密码保护密钥;使用2FA并将敏感密钥外部存储在令牌计算机(例如Yubikey)上;使用带外网络分路器独立监控和分析Linux系统的网络流量;维护系统可执行文件的完整性;定期检查配置文件的变化;为内部/物理攻击做好准备:使用全盘加密、可信/安全启动并在关键硬件上安装防篡改安全磁盘;审核系统,检查日志中是否存在攻击迹象;在Linux设置上运行渗透测试;使用具有Web和网络保护解决方案以及DevOps保护功能的专用Linux安全;本文翻译自:https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/
