研究人员发现,更高级的攻击组正在为基于Linux的设备创建工具和平台。本文的目的是分析对Linux安全性的误解,并说明公司如何更好地保护其Linux计算机。
在过去的8年中,卡巴斯基的全球研究和分析团队发现,越来越多的APT组织已开始将目标瞄准运行Linux软件的设备。实际上,通常认为Linux操作系统默认情况下是安全的,并且不容易受到恶意代码攻击。
这种误解主要是由于以下事实:过去,网络犯罪分子产生的针对Linux台式机和服务器的恶意软件和相关攻击较少。相反,有许多Windows攻击的报告。
但是,研究人员认为,尽管Linux尚未遇到Windows系统遇到的大量病毒,蠕虫和特洛伊木马,但它仍然是一个有吸引力的目标。 APT组织针对Linux的关键因素是容器化趋势促进了Linux的广泛采用。
向虚拟化和容器化的转变已导致大多数公司将Linux用于某些日常任务,这些设备通常可以从Internet访问,并且可以用作攻击者的初始切入点。此外,一些IT,电信公司和政府使用的Linux和macOS设备比Windows系统更多,从而使攻击者别无选择。
卡巴斯基的遥测技术表明,服务器是最常见的攻击目标,其次是企业IT和网络设备,然后是工作站。在某些情况下,攻击者还将使用受感染的Linux路由器在同一网络上的Windows上发起攻击。
最后,攻击者可以访问Linux服务器上的数据以及可能连接了运行Windows或macOS的端点。不断发展的威胁参与者对Linux恶意软件进行了更改,以对Linux设备发起攻击。
首次编写恶意软件时,攻击者的目标是操纵网络流量。例如,Cloud Snooper黑客小组使用面向服务器的Linux内核rootkit,该套件旨在操纵Netfilter流控制功能以及跨目标防火墙的命令和控制通信。
而钡(APT41)具有相同的目标。该组织从2013年开始以游戏公司为目标,以获取经济利益。
随着时间的流逝,它开发了新的工具并追求了更复杂的目标。它使用名为MessageTap的Linux恶意软件来拦截来自电信提供商基础设施的通信。
短信。此外,基于Linux的APT攻击者经常使用基于Linux的服务器和台式机上可用的合法工具(例如,编译代码或运行Python脚本的能力),从而减少了日志中的攻击跟踪并进一步确保了权限的维护。
可能的。就特定操作而言,通常是感染物联网,网络盒或替换受感染服务器上的合法文件。
因为这些设备/内容不经常更新,并且在许多情况下没有安装防病毒软件。许多公司并不十分担心网络攻击者拥有PHP后门,rootkit和为Linux编写的利用代码。
这是一个非常危险的信号。尽管Linux的攻击频率不如Windows,但是研究人员建议公司采取措施保护环境免受此类攻击。
保留该软件的受信任来源列表。仅从官方商店安装应用程序。
检查网络设置,避免不必要的网络应用程序。从Linux发行版中正确配置其防火墙,以过滤流量并存储主机的网络活动。
