“Linux 系統(tǒng)惡意軟件一直被嚴重忽視，”VMware 公司安全威脅情報業(yè)務高級主管喬瓦尼•維格納 (Giovanni Vigna) 說。“由于大多數(shù)云主機運行 Linux 系統(tǒng)，因此，破壞基于 Linux 系統(tǒng)的平臺，可使攻擊者訪問大量資源或通過勒索軟件和 wiper 惡意軟件造成重大破壞。”

 

近年來，網(wǎng)絡犯罪分子和民族國家的攻擊者已將目標對準了基于 Linux 的系統(tǒng)。根據(jù) VMware 公司最近的一份報告，其入侵的目標通常是企業(yè)和政府網(wǎng)絡，或獲取進入關鍵基礎設施的訪問權限。他們充分利用了薄弱的身份驗證、未修補的漏洞和服務器的錯誤配置等因素。

 

Linux 系統(tǒng)惡意軟件不僅變得越來越普遍，而且越來越多樣化。Intezer 安全公司研究了各種惡意軟件的代碼獨特性，以了解開發(fā)者的創(chuàng)新程度。該公司發(fā)現(xiàn)，與 2020 年相比，2021 年大多數(shù)類別的惡意軟件的創(chuàng)新程度都有所增加，包括勒索軟件、銀行木馬程序和僵尸網(wǎng)絡。據(jù)一份報告稱：“針對 Linux 系統(tǒng)的惡意軟件創(chuàng)新程度的提升可能與各組織機構越來越多地轉向使用云環(huán)境有關，而這些環(huán)境常常依賴 Linux 系統(tǒng)運行。”“Linux 系統(tǒng)惡意軟件的創(chuàng)新程度接近基于 Windows 系統(tǒng)惡意軟件的水平。”

 

隨著 Linux 系統(tǒng)惡意軟件的不斷發(fā)展，各組織機構需要關注最常見的攻擊，并要始終對每一環(huán)節(jié)加強安全性。 “盡管 Linux 系統(tǒng)可能比其他操作系統(tǒng)更安全，但需要注意的是，一個操作系統(tǒng)的安全性取決于其最薄弱的環(huán)節(jié)，”Cofense 公司首席安全威脅顧問羅尼•托卡佐夫斯基 (Ronnie Tokazowski) 說。

 

以下是針對 Linux 系統(tǒng)的六類攻擊，需要注意：

 

 

近年來，勒索軟件團伙開始窺探 Linux 系統(tǒng)環(huán)境。惡意軟件樣本的質量存在很大差異，但 Conti、DarkSide、REvil 和 Hive 等團伙正在迅速提升自己的技能。

 

通常，針對云環(huán)境的勒索軟件攻擊是經(jīng)過精心策劃的。VMware 公司表示，網(wǎng)絡犯罪分子在開始加密文件之前，會嘗試使受害者的系統(tǒng)完全癱瘓。

 

最近，RansomExx/Defray777 和 Conti 等團伙開始以虛擬環(huán)境中用于處理工作負載的 Linux 系統(tǒng)主機映像為目標。“這一令人擔憂的新發(fā)展趨勢表明，攻擊者如何在云環(huán)境中尋找最有價值的資產(chǎn)，以造成最大的破壞。”VMware 公司在報告中寫道。

 

對托管在 ESXi Hypervisor 上的虛擬機映像進行加密，這對這些團伙而言尤其具有吸引力，因為他們知道自己會對系統(tǒng)運行產(chǎn)生巨大影響。Trellix 安全公司的一份報告稱，“勒索軟件領域的一個常見主題就是開發(fā)專門用于加密虛擬機及其管理環(huán)境的新二進制程序”。

 

 

加密劫持是最常見的一類 Linux 系統(tǒng)惡意軟件，因為它可以快速賺錢。托卡佐夫斯基說：“該軟件的目的是利用計算資源為攻擊者生成加密貨幣。”通常是門羅幣。

 

第一次被人們所關注的攻擊事件發(fā)生在 2018 年，當時特斯拉公司的公有云成為受害者。據(jù) RedLock 云監(jiān)控公司稱，“該黑客侵入了特斯拉公司的 Kubernetes 控制臺，該控制臺沒有設置密碼保護。”“在 Kubernetes 的一個單元中，訪問權限憑證暴露在特斯拉公司的亞馬遜網(wǎng)絡服務 (AWS) 環(huán)境中，其中包含一個 Amazon S3(亞馬遜簡單存儲服務)存儲桶，而該存儲桶中含有遙感監(jiān)測等敏感數(shù)據(jù)。”

 

加密劫持已變得越來越普遍，其中 XMRig 和 Sysrv 已成為最知名的加密礦工軟件。SonicWall 公司的一份報告顯示，與 2020 年相比，2021 年的攻擊次數(shù)增加了 19%。“對于政府和醫(yī)療領域的客戶而言，這一增幅達到了三位數(shù)，即加密劫持次數(shù)分別增長了 709% 和 218%。”該報告稱。這家安全公司的統(tǒng)計數(shù)據(jù)顯示，每個客戶網(wǎng)絡平均受到 338 次加密劫持攻擊。

 

托卡佐夫斯基表示，為了鎖定受害者，許多團伙使用默認密碼列表、利用 bash 漏洞，或故意鎖定并利用那些安全性較低且配置錯誤的系統(tǒng)漏洞。“其中一些錯誤配置可能涉及到目錄遍歷攻擊、遠程文件包含攻擊，或者利用默認安裝的錯誤配置過程。”他說。

 

 

物聯(lián)網(wǎng)是基于 Linux 系統(tǒng)運行的，幾乎沒有例外，這些設備的簡單性使其很容易成為潛在的受害者。CrowdStrike 公司的報告稱，與 2020 年相比，2021 年針對在 Linux 系統(tǒng)上運行的小工具的惡意軟件數(shù)量增加了 35%。這三類惡意軟件占總數(shù)的 22%：XorDDoS、Mirai 和 Mozi。這些惡意軟件遵循相同的模式，即感染設備，將這些設備聚集到僵尸網(wǎng)絡中，然后利用這些設備執(zhí)行 DDoS 攻擊。

 

Mirai 是一種 Linux 系統(tǒng)木馬，其利用 Telnet 和安全外殼 (SSH) 暴力破解攻擊來破壞設備，被視為許多 Linux 系統(tǒng) DDoS 惡意軟件的共同祖先。當其源代碼在 2016 年公開后，便出現(xiàn)了多個不同版本。此外，惡意軟件作者從Mirai木馬中吸取了經(jīng)驗，并將其功能應用到自己的木馬程序中。

 

CrowdStrike 公司注意到，與 2021 年第一季度相比，2022 年第一季度針對英特爾的 Linux 系統(tǒng)所編譯的不同版本 Mirai 惡意軟件數(shù)量增加了一倍以上，其中針對 32 位 x86 處理器的不同版本數(shù)量增加最多。該報告稱：“Mirai 變體木馬不斷發(fā)展，以利用未修補的漏洞來擴大其攻擊范圍。”

 

另一個流行的 Linux 系統(tǒng)木馬是 XorDDoS。微軟公司發(fā)現(xiàn)，這一威脅在過去六個月中上升了 254%。XorDDoS 木馬利用針對 ARM、x86 和 x64 Linux 系統(tǒng)架構所編譯的自身變體來增加成功感染目標系統(tǒng)的可能性。與 Mirai 木馬一樣，XorDDoS 木馬也使用蠻力攻擊來獲取其目標的訪問權限，一旦進入后，它會掃描端口 2375 處于開放狀態(tài)的 Docker 服務器，以獲得對主機的遠程根目錄訪問權限，而無需輸入密碼。

 

Mozi 惡意軟件會以某種類似的方式來破壞其目標，同時為了防止其他惡意軟件取代自己的位置，會阻塞 SSH 和 Telnet 端口。它會創(chuàng)建一個點對點的僵尸網(wǎng)絡，并會使用分布式哈希表 (DHT) 系統(tǒng)將其與指揮和控制服務器之間的通信隱藏在合法的 DHT 流量背后。

 

根據(jù) Fortinet 公司的《全球安全威脅狀況報告》(Global Threat Landscape Report)，最成功的僵尸網(wǎng)絡活動隨著時間的推移始終在持續(xù)進行。這家安全公司發(fā)現(xiàn)，惡意軟件作者投入了大量精力來確保其感染狀態(tài)能持續(xù)存在，這意味著重新啟動設備也不會解除黑客對受感染系統(tǒng)的控制。

 

 

監(jiān)視民族國家團體的安全研究人員注意到，這些團體越來越多地以 Linux 系統(tǒng)環(huán)境為目標。Intezer 公司的安全研究員瑞安•羅賓遜 (Ryan Robinson) 說：“隨著俄烏戰(zhàn)爭的爆發(fā)，已有很多 Linux 系統(tǒng)惡意軟件被攻擊者使用，包括 wiper。”據(jù) Cyfirma 網(wǎng)絡安全公司稱，在戰(zhàn)爭開始之前的幾天，俄羅斯 APT 組織 Sandworm 就攻擊了英國和美國機構的 Linux 系統(tǒng)。

 

ESET 是密切關注這場沖突及其網(wǎng)絡安全影響的公司之一。“一個月前，我們一直在研究 Industroyer2 惡意軟件，其被用于攻擊一家烏克蘭能源供應商。”ESET 公司高級惡意軟件研究員 Marc-Étienne Léveillé 說。“這次攻擊包括使用 SSH 來傳播 Linux 和 Solaris 系統(tǒng)蠕蟲，還可能涉及竊取憑據(jù)。這是一次非常有針對性的攻擊，其目標顯然是為了破壞數(shù)據(jù)庫和文件系統(tǒng)的數(shù)據(jù)。”

 

根據(jù) ESET 公司的報告，Linux 系統(tǒng) wiper 惡意軟件“可通過使用 shred 命令(如果可用的話)或只是使用 dd 命令(和 if=/dev/random)來破壞連接到該系統(tǒng)的磁盤的全部內容”。“如果連接了多個磁盤，則數(shù)據(jù)刪除過程會并行進行，以加快速度。”ESET 公司將該惡意軟件歸咎于 Sandstorm APT 組織，該組織曾在 2016 年利用 Industroyer 惡意軟件切斷烏克蘭的電力。

 

至于其他民族國家攻擊者，微軟和 Mandiant 公司注意到，由國家支持的多個團體一直在利用 Windows 和 Linux 系統(tǒng)上知名的 Log4j 漏洞來獲取其目標網(wǎng)絡的訪問權限。

 

 

美國電話電報公司 (AT&T) Alien Labs 實驗室的安全研究人員發(fā)現(xiàn)，包括 TeamTNT 團體在內的多個攻擊參與者已開始使用 Ezuri，這是一款用 Golang 語言編寫的開源工具。攻擊者使用 Ezuri 來加密惡意代碼。在解密時，其工作負載直接在內存中執(zhí)行，而不會在磁盤上留下任何痕跡，這使得這些攻擊行為很難被殺毒軟件檢測到。

 

與此技術相關的主要團體 TeamTNT 是以未正確配置的 Docker 系統(tǒng)為目標，其目的是安裝 DDoS 機器人和加密礦工。

 

 

Linux 系統(tǒng)惡意軟件還可以通過適用于 Linux 的 Windows 子系統(tǒng) (WSL) 來利用 Windows 系統(tǒng)設備，WSL 是 Windows 系統(tǒng)的一個功能，允許 Linux 系統(tǒng)二進制文件在 Windows 操作系統(tǒng)上本地運行。WSL 必須手動安裝或通過加入 Windows Insider 計劃來安裝，但如果攻擊者擁有更高的訪問權限，則可以安裝該功能。

 

Qualys 云安全公司研究了利用 WSL 功能在 Windows 系統(tǒng)設備上進行攻擊或擁有持續(xù)性的可行性。到目前為止，該公司分析了兩種技術(即代理執(zhí)行和安裝實用程序)，并得出結論認為，這兩種技術都是高度可行的。據(jù)該公司的安全專家稱，想要防范此類攻擊的組織機構可以禁用虛擬化和禁止安裝 WSL 功能。這還有助于持續(xù)檢查正在運行的進程。

 

攻擊者還將 Windows 系統(tǒng)工具的功能移植到 Linux 系統(tǒng)，旨在以更多的平臺為目標。一個例子是 Vermilion Strike，它是基于 CobaltStrike(一款流行的 Windows 系統(tǒng)滲透測試工具)開發(fā)的，但也適用于 Windows 和 Linux 系統(tǒng)。Vermilion Strike 工具可為攻擊者提供遠程訪問功能，包括文件處理和 shell 命令執(zhí)行。該工具被用于攻擊電信公司、政府機構和金融機構，攻擊者的主要目的是進行間諜活動。

 

Intezer 公司的研究人員在其報告中稱，“Vermilion Strike 工具不可能是CobaltStrike Beacon 最后一個針對 Linux 系統(tǒng)的工具”。

 

 

當系統(tǒng)管理員和開發(fā)人員與時間和最后期限爭分奪秒時，安全性就成為最薄弱的環(huán)節(jié)。例如，開發(fā)人員可能會盲目地相信來自社區(qū)的代碼;他們從 Stack Overflow 中復制/粘貼代碼，在克隆一個 GitHub 庫后快速運行軟件，或者將 Docker Hub 中的應用程序直接部署到自己的生產(chǎn)環(huán)境中。

 

機會主義攻擊者會利用這種“注意力經(jīng)濟”。他們會將加密礦工添加到 Docker 容器中，或創(chuàng)建與頻繁使用的庫名稱幾乎相同的開源包，以及利用部分開發(fā)人員偶爾出現(xiàn)的拼寫錯誤。

 

“利用開放部署的 Docker 和 Kubernetes，這是非常有吸引力的：粗心的人會將他們部署的容器向外界開放，從而使這些系統(tǒng)很容易被別人利用，并用作后續(xù)攻擊或從事其他貨幣化活動(例如門羅幣挖礦)的橋頭堡。”VMware 公司的維格納說。

 

“我是開源軟件和文化的熱心傳播者和倡導者，但真正讓我感到不安的一件事是公共軟件庫中涉及的信任鏈的脆弱性。”Nucleus Security 公司漏洞研究工程師瑞安•克里貝拉爾 (Ryan Cribelar) 說。“當然，這不是 Linux 系統(tǒng)特有的問題，例如，潛藏在 PyPi 或 NPM 庫中的惡意庫無疑會導致 Linux 系統(tǒng)管理員和安全團隊最難以入眠。”

 

對于 Linux 系統(tǒng)服務器而言，配置錯誤也是一個大問題，這可能發(fā)生在基礎設施中的多個位置。“通常，防火墻或安全組被錯誤設置，可使訪問權限擴至更大的互聯(lián)網(wǎng)范圍，從而使外部訪問權限能夠在 Linux 系統(tǒng)服務器上部署應用程序。”Intezer 公司的羅賓遜說。

 

應用程序常常被錯誤配置，從而使用戶在沒有身份驗證或使用默認憑據(jù)的情況下進行訪問。“根據(jù)錯誤配置的應用程序不同，攻擊者將能夠竊取信息或在 Linux 服務器上運行惡意代碼。”羅賓遜補充道。“常見的例子包括錯誤配置的 Docker 守護進程，這可以讓攻擊者能夠運行他們自己的容器，或錯誤配置的應用程序(例如 Apache Airflow 工具)導致泄露密碼和客戶信息。”羅賓遜補充說，默認配置通常不等同于安全配置。

 

CrowdStrike 公司惡意軟件研究高級總監(jiān)喬爾·斯珀洛克 (Joel Spurlock) 看到的另一個問題是打補丁。他認為，各組織機構“要么沒有或不愿意讓設備保持最新版本”。應該定期打補丁，而且像 EDR 和零信任這樣的流行語也應該出現(xiàn)在你的字典里。

 

針對 Linux 系統(tǒng)環(huán)境的惡意軟件在消費設備和服務器、虛擬環(huán)境和專用操作系統(tǒng)各領域中快速發(fā)展，因此，保護所有這些領域的一些必要安全措施需要重點關注和精心規(guī)劃。

 

版權聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。