Linux操作系统具有稳定性高、通用性强、开源等特点,通常作为Web服务器领域的首选操作系统,物联网、嵌入式开发和超级计算机。近年来,不仅是互联网行业,政府、金融、教育、医疗、制造、能源等行业也越来越多地采用基于Linux的办公系统和服务器系统。无论是维护技术工程人员的开发安全,还是保护企业的信息和财产安全,Linux系统终端的安全防护已经成为越来越重要的话题。企业用户更容易成为Linux平台病毒攻击的目标根据火绒在线求助与响应平台相关信息统计,企业用户比个人用户更容易成为Linux平台病毒觊觎和攻击的目标,占比为高达91%。具有诸多优势的Linux操作系统并非没有被攻击的可能。随着Linux平台上的终端越来越多,针对Linux平台的恶意程序也越来越多,使用的技术手段也越来越复杂。近年来,火绒用户遇到的Linux平台病毒问题总体呈上升趋势,2021年将有所下降,但2022年将有增长迹象,值得用户警惕。Linux平台病毒问题的增长趋势表明,蠕虫占Linux平台病毒的近一半。Linux平台的主要病毒问题是蠕虫病毒、勒索病毒和后门病毒,其中蠕虫病毒占近一半。蠕虫中最主要的恶意行为是恶意挖矿。恶意挖矿所需的技术和攻击成本相对较低,可以为攻击者带来高额非法收益。这也是近年来此类蠕虫病毒泛滥的主要原因。原因。火绒用户在Linux平台上遇到的各类病毒占比如下图所示:Linux平台病毒种类占比Linux平台病毒通常具有一定的持久性自我保护手段,给防御和查杀带来困难。针对以上病毒威胁情况,火绒安全企业版Linux终端产品“火绒终端安全管理系统V2.0”正式上线。产品拥有完全自主知识产权,适配国内各种主流操作系统和CPU,可有效防御各种Linux平台病毒,充分满足企业级用户对终端查杀、管控的需求。本报告将从流行病毒介绍、传播途径、病毒危害、病毒持久化手段和防范建议等角度进行分析说明,为Linux平台病毒问题处理提供技术依据。流行病毒介绍通过对近年来Linux平台上流行的病毒家族的分析,我们梳理出8种具有代表性的病毒,并从类型、功能、传播方式等方面对它们进行了分类。如下图所示:传播途径Linux平台病毒利用各种渠道传播,主要通过漏洞和弱口令暴力破解。暴力传播主要是基于SSH暴力破解,漏洞传播主要是基于各种RCE漏洞。.病毒传播流程图如下:弱口令暴力传播Linux平台病毒会针对SSH、Tomcat、Wordpress等网络服务进行弱口令暴力破解。弱口令暴力破解主要是SSH暴力破解。绝大多数Linux终端都会开启SSH服务,导致SSH暴力破解成为了Linux平台传播病毒的主要手段。SSH暴力破解以云铲病毒为例。它使用开源库libssh来暴力破解Internet终端。相关代码如下图所示:云铲病毒使用的暴力破解字典如下图所示:通过开源库libssh将本地病毒文件上传到目标终端进行传播。相关代码如下图所示:向目标发送病毒模块,执行Tomcat和Wordpress暴力破解。以Sysrv-Hello病毒为例,Tomcat暴力破解代码如下如图:Wordpress暴力破解代码,如下图:以漏洞传播Mirai、DDGMiner、Sysrv-Hello病毒为例,该类病毒会内置漏洞功能,扫描互联网或内网,如果发现目标存在漏洞,就会对该目标进行攻击,并植入后门、挖矿等病毒模块。以Sysrv-Hello病毒为例,该病毒携带了20多种传播方式,其中大部分以RCE漏洞为主。列表,如下图所示:Sysrv-Hello病毒漏洞传播流程,通过随机生成公网IP地址,对目标进行漏洞检测,如果目标存在漏洞,则对应漏洞利用代码将被执行传播。相关代码如下图所示演示:利用漏洞远程执行Shell脚本进行水平传输。Linux平台通过echo执行Shell脚本,相关代码如下图:针对某企业或单位进行人工渗透入侵,攻击成功后上传病毒模块。以勒索病毒为例,大多数勒索病毒不携带任何传播手段。攻击者进行人工渗透入侵,攻击成功后上传勒索模块。、通过加密、窃取数据的方式对企业或单位进行敲诈勒索,从而获取高额赎金以牟利。病毒对挖矿的危害目前Linux平台病毒中恶意行为最多的就是挖矿。攻击者通过各种手段侵入受害者终端,在受害者不知情的情况下植入挖矿程序,并在后台悄悄运行,抢占系统。大部分资源导致电脑死机,影响正常使用。以云铲病毒为例,相关代码如下图所示:后门病毒利用各种手段在受害者终端留下后门,以下是几种常见的后门方式:1.添加SSH公钥到留下后门,以便攻击者可以连接到SSH。以云铲病毒为例,相关代码如下图所示:2、部分病毒内置后门功能,如执行C&C服务器下发的任意命令、执行C&C服务器下发的任意文件等。以H2Miner病毒为例,相关代码如下图所示:DDoS攻击有些病毒会携带DDoS功能,如:XorDdos、Mirai、8220Miner等病毒,DDoS攻击主要是攻击者利用受害终端进行DDoS攻击。不断向某个目标发送网络包,导致目标瘫痪。以8220Miner病毒为例,接收服务器下发指令相关代码如下图:接收C&C服务器下发指令对应的DDoS功能表如下图:加密勒索拿AvosLocker以勒索软件为例,AvosLocker勒索软件在系统中查找VMESXI相关文件,并使用ECIES和Salsa20加密算法对文件数据进行加密。相关代码如下图所示:在系统中查找VMESXI相关文件。相关代码如下图:文件加密相关代码如下如图:AvosLocker文件数据加密,勒索信相关内容如下图:持久化病毒启动后,它会使用持久化的手段来保持自己的运行。以下是Linux平台上常见的持久化手段。1、定时任务是Linux病毒常用的持久化方式,通过将定时任务写入crontab目录,可以定时执行shell脚本。以H2Miner病毒为例相关代码,如下图所示:2、添加Linux系统服务,在systemd/system目录下为病毒模块创建服务配置文件,系统启动后病毒会自动运行,以H2Miner病毒为例,相关代码如下图所示:3.XorDdos病毒中,除了使用上述方法进行持久化外,还创建了多个进程来防止主进程被关闭而病毒模块被删除。这种持久化进程往往伪装成系统进程,很难排查。相关代码如下如图:建议使用复杂的密码进行防范,避免系统和各种软件使用相同的密码,及时更新软件和系统,打漏洞补丁提高自己安全意识。不要从第三方渠道下载软件,尽量从官方软件下载并修改SSH、Redis、FTP、MySQL等默认端口,防止被扫描器暴力破解,禁用不用的端口,定期备份重要数据,不要点击陌生邮箱中的超链接和附件。严格控制root权限,日常操作不使用root权限
