Его репутация системы безопасности означает, что Linux часто считается менее уязвимым для угроз, которые регулярно поражают системы Microsoft Windows. Большая часть этой предполагаемой безопасности исходит от относительно небольшого количества систем Linux, но киберпреступники начинают видеть ценность в выборе качество важнее количества?
Пейзаж угроз Linux меняется
Исследователи безопасности в таких компаниях, как Kaspersky и Blackberry, а также в федеральных агентствах, таких как ФБР и АНБ предупреждают о том, что авторы вредоносных программ уделяют больше внимания Linux.
Теперь операционная система признана средством доступа к ценным данным, таким как коммерческая тайна, интеллектуальная собственность и информация о персонале. Серверы Linux также могут использоваться в качестве промежуточной точки для заражения более широких сетей, заполненных устройствами Windows, macOS и Android.
Даже если на вашем настольном компьютере или ноутбуке работает не ОС, ваши данные, скорее всего, рано или поздно будут доступны для Linux. Ваше облачное хранилище, VPN и поставщики электронной почты, а также ваш работодатель, страховая компания, государственные службы или университет почти наверняка используют Linux как часть своей сети, и есть вероятность, что вы владеете или будете владеть устройством Интернета вещей (IoT) на базе Linux сейчас или в будущее.
За последние 12 месяцев было обнаружено множество угроз. Некоторые из них являются известными вредоносными программами для Windows, перенесенными на Linux, в то время как другие остаются незамеченными на серверах почти десять лет, что показывает, насколько группы безопасности недооценили риск.
Многие системные администраторы могут подумать, что их организация недостаточно важна, чтобы быть целью. Однако, даже если ваша сеть не является большим призом, ваши поставщики или клиенты могут оказаться более заманчивыми, и получение доступа к вашей системе, например, посредством фишинг-атаки, может быть первым шагом к проникновению их. Так что это стоит оценить, как вы защищаете свою систему.
Независимо от того, считаете ли вы Linux наиболее безопасной ОС, все операционные системы имеют риски и уязвимости, которыми можно воспользоваться. Вот как с ними бороться в Linux.
Вредоносное ПО для Linux обнаружено в 2020 году
Вот наш округлять угроз, выявленных за последний год.
RansomEXX троян
В ноябре исследователи «Лаборатории Касперского» выяснили, что этот троян был перенесен на Linux в качестве исполняемого файла. У жертвы остаются файлы, зашифрованные 256-битным шифром AES, и инструкции по связи с авторами вредоносных программ для восстановления их данных.
Версия для Windows атаковала несколько важных целей в 2020 году, в том числе Konica Minolta, Департамент транспорта Техаса и бразильскую судебную систему.
RansomEXX специально адаптирован для каждой жертвы, при этом название организации включается как в расширение зашифрованного файла, так и в адрес электронной почты в записке с требованием выкупа.
Гитпаста-12
Gitpaste-12 - новый червь, заражающий серверы x86 и устройства Интернета вещей под управлением Linux. Он получил свое название от использования GitHub и Pastebin для загрузки кода, а также от 12 методов атаки.
Червь может отключить AppArmor, SELinux, брандмауэры и другие средства защиты, а также установить майнер криптовалюты.
IPStorm
Известный в Windows с мая 2019 года, в сентябре была обнаружена новая версия этого ботнета, способная атаковать Linux. Он обезвреживает убийцу нехватки памяти Linux, чтобы он продолжал работать, и убивает процессы безопасности, которые могут помешать его работе.
Издание Linux поставляется с дополнительными возможностями, такими как использование SSH, чтобы найти цели, использовать игровые услуги Паровых и ползать порносайтова фальсификацию кликов на рекламе.
Он также имеет склонность к заражению Android-устройств, подключенных через Android Debug Bridge (ADB).
Дроворуб
ФБР и АНБ выделили этот руткит в августовском предупреждении. Он может обходить администраторов и антивирусное программное обеспечение, запускать команды root и позволять хакерам загружать и скачивать файлы. По словам двух агентств, Drovorub - это работа Fancy Bear, группы хакеров, которые работают на правительство России.
Заражение трудно обнаружить, но обновление до ядра не ниже 3.7 и блокировка ненадежных модулей ядра должны помочь избежать его.
Люцифер
Вредоносный бот для майнинга криптовалют и распределенного отказа в обслуживании Lucifer впервые появился в Windows в июне и в Linux в августе. Инкарнация Люцифера в Linux допускает DDoS-атаки на основе HTTP, а также TCP, UCP и ICMP.
Penquin_x64
Этот новый штамм вредоносного ПО семейства Turla Penquin был обнаружен исследователями в мае. Это бэкдор, который позволяет злоумышленникам перехватывать сетевой трафик и запускать команды без получения root-прав.
В июле Касперский обнаружил, что эксплойт работает на десятках серверов в США и Европе.
Доки
Doki - это бэкдорный инструмент, который в основном нацелен на плохо настроенные серверы Docker для установки крипто-майнеров.
В то время как вредоносные программы обычно связываются с заранее определенными IP-адресами или URL-адресами для получения инструкций, создатели Doki создали динамическую систему, которая использует API криптоблоки Dogecoin. Это затрудняет отключение командной инфраструктуры, поскольку операторы вредоносных программ могут изменить управляющий сервер с помощью всего одной транзакции Dogecoin.
Чтобы избежать Doki, вы должны убедиться, что ваш интерфейс управления Docker правильно настроен.
TrickBot
TrickBot - это банковский троян, используемый для атак программ-вымогателей и кражи личных данных, который также перешел с Windows на Linux. Anchor_DNS, один из инструментов, используемых группой, стоящей за TrickBot, появился в версии Linux в июле.
Anchor_Linux действует как бэкдор и обычно распространяется через zip-файлы. Вредоносная программа создает cron задача и связывается с управляющим сервером через DNS-запросы.
Связанный: Как обнаружить фишинговое письмо
Магнат
Троян Tycoon обычно распространяется как скомпрометированная среда выполнения Java внутри zip-архива. В июне исследователи обнаружили, что он работает в системах Windows и Linux малого и среднего бизнеса, а также образовательных учреждений. Он шифрует файлы и требует выкупа.
Cloud Snooper
Этот руткит захватывает Netfilter, чтобы скрыть команды и кражу данных среди обычного веб-трафика в обход брандмауэров.
Система, впервые обнаруженная в облаке Amazon Web Services в феврале, может использоваться для контроля вредоносных программ на любом сервере за любым брандмауэром.
PowerGhost
Также в феврале исследователи Trend Micro обнаружили, что PowerGhost совершил скачок с Windows на Linux. Это безфайловый майнер криптовалюты, который может замедлить работу вашей системы и ухудшить работу оборудования из-за повышенного износа.
Версия для Linux может удалять или уничтожать антивирусные продукты и остается активной с помощью задачи cron. Он может устанавливать другие вредоносные программы, получать root-доступ и распространяться по сетям с помощью SSH.
FritzFrog
Поскольку этот одноранговый (P2P) ботнет был впервые обнаружен в январе 2020 года, было найдено еще 20 версий. Среди жертв - правительства, университеты, медицинские центры и банки.
Fritzfrog - это безфайловое вредоносное ПО, тип угрозы, который живет в оперативной памяти, а не на вашем жестком диске, и использует уязвимости в существующем программном обеспечении для выполнения своей работы. Вместо серверов он использует P2P для отправки зашифрованных сообщений SSH для координации атак на разных машинах, обновления самого себя и обеспечения равномерного распределения работы по сети.
Несмотря на то, что Fritzfrog не имеет файлов, он создает бэкдор, используя открытый ключ SSH, чтобы разрешить доступ в будущем. Информация для входа в систему для взломанных машин затем сохраняется в сети.
Надежные пароли и аутентификация с открытым ключом обеспечивают защиту от этой атаки. Также неплохо изменить порт SSH или отключить доступ по SSH, если вы его не используете.
FinSpy
FinFisher продает FinSpy, связанную со шпионажем за журналистами и активистами, как готовое решение для наблюдения для правительств. Ранее Amnesty International обнаружила версию вредоносного ПО для Linux в ноябре 2019 года.
FinSpy позволяет прослушивать трафик, получать доступ к личным данным, а также записывать видео и аудио с зараженных устройств.
Это стало известно общественности в 2011 году, когда протестующие обнаружили контракт на покупку FinSpy в офисах жестокой египетской службы безопасности после свержения президента Мубарака.
Пришло ли время пользователям Linux серьезно относиться к безопасности?
Хотя пользователи Linux могут быть не так уязвимы к такому количеству угроз безопасности, как пользователи Windows, нет сомнений в том, что стоимость и объем данных, хранящихся в системах Linux, делают платформу более привлекательной для киберпреступников.
Если ФБР и АНБ обеспокоены, индивидуальные предприниматели или малые предприятия, использующие Linux, должны начать платить больше. внимание к безопасности сейчас, если они хотят избежать побочного ущерба во время будущих атак на более крупные организации.
Вот наши чаевые для защиты от растущего списка вредоносных программ Linux:
- Не запускайте двоичные файлы или скрипты из неизвестных источников.
- Установите программное обеспечение безопасности такие как антивирусные программы и детекторы руткитов.
- Будьте осторожны при установке программ с помощью таких команд, как curl. Не запускайте команду, пока полностью не поймете, что она будет делать, начните исследование командной строки здесь.
- Узнайте, как правильно настроить брандмауэр. Он должен регистрировать всю сетевую активность, блокировать неиспользуемые порты и в целом сводить ваш доступ к сети до минимально необходимого.
- Регулярно обновляйте вашу систему; настроить автоматическую установку обновлений безопасности.
- Убедитесь, что ваши обновления отправляются через зашифрованные соединения.
- Включите систему аутентификации на основе ключей для SSH и пароля для защиты ключей.
- Использовать двухфакторную аутентификацию (2FA) и храните ключи на внешних устройствах, таких как Yubikey.
- Проверьте журналы на предмет атак.
С самого начала Linux довольно безопасен, особенно по сравнению с другими операционными системами, такими как macOS или Windows. Но даже в этом случае, начиная с этих инструментов, полезно использовать это.
- Linux
- Linux
- Вредоносное ПО
Джо МакКроссан - писатель-фрилансер, волонтер, занимающийся устранением неполадок, и мастер по ремонту велосипедов-любителей. Ему нравится Linux, открытый исходный код и всевозможные волшебные инновации.
Подписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Еще один шаг…!
Пожалуйста, подтвердите свой адрес электронной почты в электронном письме, которое мы вам только что отправили.
