2020 年是 Linux 恶意软件大流行年吗?

它在安全方面的声誉意味着 Linux 通常被认为不太容易受到经常困扰 Microsoft Windows 系统的各种威胁的影响。 大部分感知到的安全性来自相对较少的 Linux 系统,但网络犯罪分子开始看到选择的价值 质量而不是数量?

Linux 威胁格局正在发生变化

卡巴斯基和黑莓等公司的安全研究人员,以及联邦机构如 联邦调查局和国家安全局 警告恶意软件作者增加对 Linux 的关注。

该操作系统现在被认为是获取商业机密、知识产权和人事信息等有价值数据的门户。 Linux 服务器也可以用作感染更广泛的网络的中转点,这些网络充满了 Windows、macOS 和 Android 设备。

即使不是在您的台式机或笔记本电脑上运行的操作系统,您的数据也可能迟早会暴露给 Linux。 您的云存储、VPN 和电子邮件提供商,以及您的雇主、健康保险公司、政府服务机构或大学,几乎可以肯定将 Linux 作为其网络的一部分运行,您可能拥有或将拥有一个基于 Linux 的互联网现在或将来的物联网 (IoT) 设备。

在过去的 12 个月中发现了多个威胁。 一些已知的 Windows 恶意软件已移植到 Linux,而另一些则在服务器上未检测到近十年,这表明安全团队低估了风险。

许多系统管理员可能认为他们的组织不够重要,不能成为目标。 但是,即使您的网络不是大奖,您的供应商或客户也可能会被证明更具诱惑力,并通过网络钓鱼攻击访问您的系统, example,可能是渗透他们的第一步。 因此,值得评估您如何保护您的系统。

2020 年发现的 Linux 恶意软件

这是我们的 围捕 去年发现的威胁。

RansomEXX 木马

卡巴斯基研究人员在 11 月透露,该木马已作为可执行文件移植到 Linux。 受害者留下了使用 256 位 AES 密码加密的文件以及联系恶意软件作者以恢复其数据的说明。

Windows 版本在 2020 年攻击了一些重要目标,包括柯尼卡美能达、德克萨斯州交通部和巴西法院系统。

RansomEXX 是专门为每个受害者量身定制的,组织的名称包含在加密的文件扩展名和勒索信上的电子邮件地址中。

Gitpaste-12

Gitpaste-12 是一种感染 x86 服务器和运行 Linux 的物联网设备的新蠕虫。 它的名字来源于它使用 GitHub 和 Pastebin 来下载代码,以及它的 12 种攻击方法。

该蠕虫可以禁用 AppArmor、SELinux、防火墙和其他防御措施,还可以安装加密货币矿工。

IP风暴

自 2019 年 5 月在 Windows 上已知,该僵尸网络的新版本能够攻击 Linux 于 9 月被发现。 它解除了 Linux 的内存不足杀手以保持其自身运行并杀死可能阻止其工作的安全进程。

Linux 版本具有额外的功能,例如使用 SSH 查找目标、利用 Steam 游戏服务以及抓取色情网站以欺骗点击 s。

它还喜欢感染通过 Android 调试桥 (ADB) 连接的 Android 设备。

德罗沃鲁布

FBI 和 NSA 在 8 月份的警告中强调了这个 rootkit。 它可以逃避管理员和杀毒软件,运行root命令,并允许黑客上传和下载文件。 根据这两个机构的说法,Drovorub 是 Fancy Bear 的作品,这是一群为俄罗斯政府工作的黑客。

这种感染很难检测,但至少升级到 3.7 内核并阻止不受信任的内核模块应该有助于避免它。

路西法

Lucifer 恶意加密挖掘和分布式拒绝服务机器人于 6 月首次出现在 Windows 上,8 月首次出现在 Linux 上。 Lucifer 的 Linux 化身允许基于 HTTP 的 DDoS 攻击以及基于 TCP、UCP 和 ICMP 的攻击。

Penquin_x64

研究人员在 5 月发现了 Turla Penquin 系列恶意软件的这种新菌株。 这是一个后门,允许攻击者拦截网络流量并运行命令而无需获取 root 权限。

卡巴斯基在 7 月份发现该漏洞在美国和欧洲的数十台服务器上运行。

多基

Doki 是一个后门工具,主要针对设置不良的 Docker 服务器来安装加密矿工。

虽然恶意软件通常会联系预定的 IP 地址或 URL 以接收指令,但 Doki 的创建者已经建立了一个使用 Dogecoin 加密区块链 API 的动态系统。 这使得很难拆除命令基础设施,因为恶意软件操作员只需一次狗狗币交易即可更改控制服务器。

为了避免 Doki,你应该确保你的 Docker 管理界面配置正确。

特技机器人

TrickBot 是一种银行木马,用于勒索软件攻击和身份盗窃,它也已从 Windows 转移到 Linux。 Anchor_DNS 是 TrickBot 背后的团队使用的工具之一,于 7 月出现在 Linux 变体中。

Anchor_Linux 充当后门,通常通过 zip 文件传播。 该恶意软件设置了一个 cron 任务并通过 DNS 查询联系控制服务器。

相关:如何发现网络钓鱼电子邮件

巨头

Tycoon 特洛伊木马通常作为受感染的 Java 运行时环境在 zip 存档中传播。 研究人员在 6 月份发现它可以在中小型企业以及教育机构的 Windows 和 Linux 系统上运行。 它加密文件并要求支付赎金。

Cloud 窥探者

此 rootkit 劫持 Netfilter 以在正常 Web 流量中隐藏命令和数据盗窃以绕过防火墙。

该系统于 2 月首次在 Amazon Web Services 云上发现,可用于控制任何防火墙后面的任何服务器上的恶意软件。

威力鬼

同样在 2 月,趋势科技的研究人员发现 PowerGhost 已经从 Windows 跨越到 Linux。 这是一个无文件的加密货币矿工,可以通过增加磨损来减慢您的系统并降低硬件性能。

Linux 版本可以卸载或杀死反恶意软件产品,并使用 cron 任务保持活动状态。 它可以安装其他恶意软件,获得 root 访问权限,并使用 SSH 通过网络传播。

弗里茨蛙

自 2020 年 1 月首次发现这种点对点 (P2P) 僵尸网络以来,已经发现了 20 多个版本。 受害者包括政府、大学、医疗中心和银行。

Fritzfrog 是无文件恶意软件,一种存在于 RAM 中而非硬盘驱动器中的威胁,它利用现有软件中的漏洞来完成其工作。 它不使用服务器,而是使用 P2P 发送加密的 SSH 通信来协调不同机器之间的攻击、更新自身并确保工作在整个网络中均匀分布。

尽管它是无文件的 Fritzfrog 确实使用公共 SSH 密钥创建了一个后门,以允许将来访问。 然后通过网络保存受感染机器的登录信息。

强密码和公钥认证提供了针对这种攻击的保护。 更改 SSH 端口或在不使用 SSH 访问时关闭它也是一个好主意。

金融间谍

FinFisher 出售与监视记者和活动家有关的 FinSpy,作为政府现成的监视解决方案。 此前曾在 Windows 和 Android 上看到过,国际特赦组织于 2019 年 11 月发现了该恶意软件的 Linux 版本。

FinSpy 允许窃听流量、访问私人数据以及记录受感染设备的视频和音频。

2011 年,抗议者在穆巴拉克总统被推翻后,在残酷的埃及安全部门办公室发现了一份购买 FinSpy 的合同,这引起了公众的注意。

Linux 用户是时候开始认真对待安全性了吗?

虽然 Linux 用户可能不像 Windows 用户那样容易受到安全威胁的影响,但毫无疑问,Linux 系统所持有的数据的价值和数量正在使该平台对网络犯罪分子更具吸引力。

如果 FBI 和 NSA 担心,那么运行 Linux 的个体经营者或小型企业现在应该开始更加关注安全性,如果他们想避免在未来对大型组织的攻击中成为附带损害的话。

这是我们的 尖端 为了保护自己免受不断增长的 Linux 恶意软件列表的影响:

  • 不要运行来自未知来源的二进制文件或脚本。
  • 安装安全软件,例如防病毒程序和 rootkit 检测器。
  • 使用以下命令安装程序时要小心 curl. 在完全理解它的作用之前不要运行命令,在这里开始你的命令行研究。
  • 了解如何正确设置防火墙。 它应该记录所有网络活动,阻止未使用的端口,并且通常将您对网络的暴露降至最低。
  • 定期更新您的系统; 将安全更新设置为自动安装。
  • 确保您的更新是通过加密连接发送的。
  • 为 SSH 和密码启用基于密钥的身份验证系统以保护密钥。
  • 使用双因素身份验证 (2FA) 并将密钥保存在 Yubikey 等外部设备上。
  • 检查日志以获取攻击证据。