Является ли 2020 год годом пандемии вредоносных программ для Linux?

Дядя Влад

Его репутация в области безопасности означает, что Linux часто считается менее уязвимым для угроз, которые регулярно поражают системы Microsoft Windows. Большая часть этой предполагаемой безопасности проистекает из относительно небольшого количества систем Linux, но начинают ли киберпреступники видеть ценность в выборе качества вместо количества ?

Пейзаж угроз Linux меняется

Исследователи безопасности таких компаний, как Kaspersky и Blackberry, а также федеральные агентства, такие как ФБР и АНБ , предупреждают о том, что авторы вредоносных программ все больше внимания уделяют Linux.

ОС теперь признана средством доступа к ценным данным, таким как коммерческая тайна, интеллектуальная собственность и информация о персонале. Серверы Linux также могут использоваться в качестве промежуточной точки для заражения более широких сетей, заполненных устройствами Windows, macOS и Android.

Даже если это не ОС, работающая на вашем настольном компьютере или ноутбуке, ваши данные, скорее всего, рано или поздно будут доступны для Linux. Ваше облачное хранилище, VPN и поставщики электронной почты, а также ваш работодатель, страховая компания, государственные службы или университет почти наверняка используют Linux как часть своих сетей, и есть вероятность, что вы владеете или будете владеть Интернетом на Linux. Устройство Things (IoT) сейчас или в будущем.

За последние 12 месяцев было обнаружено множество угроз. Некоторые из них являются известными вредоносными программами для Windows, перенесенными на Linux, в то время как другие остаются незамеченными на серверах почти десять лет, что показывает, насколько специалисты по безопасности недооценили риск.

Многие системные администраторы могут подумать, что их организация недостаточно важна, чтобы стать целью. Однако, даже если ваша сеть не является большим призом, ваши поставщики или клиенты могут оказаться более заманчивыми, и получение доступа к вашей системе, например, с помощью фишинг-атаки, может быть первым шагом к проникновению в их сеть. Так что стоит оценить, как вы защищаете свою систему .

Вредоносное ПО для Linux обнаружено в 2020 году

Вот наш обзор угроз, выявленных за последний год.

RansomEXX троян

В ноябре исследователи «Лаборатории Касперского» выяснили, что этот троян был перенесен на Linux как исполняемый файл. У жертвы остаются файлы, зашифрованные с помощью 256-битного шифра AES, и инструкции по связи с авторами вредоносных программ для восстановления их данных.

Версия для Windows атаковала несколько важных целей в 2020 году, включая Konica Minolta, Министерство транспорта Техаса и бразильскую судебную систему.

RansomEXX специально адаптирован для каждой жертвы, при этом название организации включается как в расширение зашифрованного файла, так и в адрес электронной почты в записке о выкупе.

Гитпаста-12

Gitpaste-12 – новый червь, заражающий серверы x86 и устройства Интернета вещей под управлением Linux. Он получил свое название от использования GitHub и Pastebin для загрузки кода, а также от 12 методов атаки.

Червь может отключить AppArmor, SELinux, брандмауэры и другие средства защиты, а также установить майнер криптовалюты.

IPStorm

Известный в Windows с мая 2019 года, в сентябре была обнаружена новая версия этого ботнета, способная атаковать Linux. Он обезвреживает убийцу нехватки памяти Linux, чтобы он продолжал работать, и убивает процессы безопасности, которые могут остановить его работу.

Издание Linux поставляется с дополнительными возможностями, такими как использование SSH, чтобы найти цели, использовать игровые услуги Паровых и ползать порносайтова фальсификацию кликов на рекламе.

Он также имеет склонность к заражению Android-устройств, подключенных через Android Debug Bridge (ADB).

Дроворуб

ФБР и АНБ выделили этот руткит в августовском предупреждении. Он может обходить администраторов и антивирусное программное обеспечение, запускать команды root и позволять хакерам загружать и скачивать файлы. По словам двух агентств, Drovorub – это работа Fancy Bear, группы хакеров, которые работают на правительство России.

Заражение трудно обнаружить, но обновление до ядра не ниже 3.7 и блокировка ненадежных модулей ядра должны помочь избежать его.

Люцифер

Вредоносный бот для майнинга криптовалют и распределенного отказа в обслуживании Lucifer впервые появился в Windows в июне и в Linux в августе. Воплощение Люцифера в Linux позволяет выполнять DDoS-атаки на основе HTTP, а также по TCP, UCP и ICMP.

Penquin_x64

Этот новый штамм вредоносного ПО семейства Turla Penquin был обнаружен исследователями в мае. Это бэкдор, который позволяет злоумышленникам перехватывать сетевой трафик и запускать команды без получения root-прав.

В июле Касперский обнаружил, что эксплойт работает на десятках серверов в США и Европе.

Доки

Doki – это бэкдорный инструмент, который в основном нацелен на плохо настроенные серверы Docker для установки крипто-майнеров.

В то время как вредоносные программы обычно связываются с заранее определенными IP-адресами или URL-адресами для получения инструкций, создатели Doki создали динамическую систему, которая использует API криптоблокчейн Dogecoin. Это затрудняет отключение инфраструктуры команд, поскольку операторы вредоносных программ могут изменить сервер управления с помощью всего одной транзакции Dogecoin.

Чтобы избежать Doki, вы должны убедиться, что ваш интерфейс управления Docker правильно настроен.

TrickBot

TrickBot – это банковский троянец, используемый для атак программ-вымогателей и кражи личных данных, который также перешел с Windows на Linux. Anchor_DNS, один из инструментов, используемых группой, стоящей за TrickBot, появился в версии Linux в июле.

Anchor_Linux действует как бэкдор и обычно распространяется через zip-файлы. Вредоносная программа устанавливает задачу cron и связывается с сервером управления через DNS-запросы.

Связанный: Как обнаружить фишинговое письмо

Магнат

Троян Tycoon обычно распространяется как скомпрометированная среда выполнения Java в zip-архиве. Исследователи обнаружили, что в июне он работает в системах Windows и Linux малого и среднего бизнеса, а также образовательных учреждений. Он шифрует файлы и требует выкупа.

Cloud Snooper

Этот руткит захватывает Netfilter, чтобы скрыть команды и кражу данных среди обычного веб-трафика в обход брандмауэров.

Система, впервые обнаруженная в облаке Amazon Web Services в феврале, может использоваться для контроля вредоносных программ на любом сервере за любым брандмауэром.

PowerGhost

Также в феврале исследователи Trend Micro обнаружили, что PowerGhost совершил скачок с Windows на Linux. Это безфайловый майнер криптовалюты, который может замедлить работу вашей системы и ухудшить работу оборудования из-за повышенного износа.

Версия для Linux может удалять или уничтожать антивирусные продукты и остается активной с помощью задачи cron. Он может устанавливать другие вредоносные программы, получать root-доступ и распространяться по сети с помощью SSH.

FritzFrog

С тех пор, как этот одноранговый (P2P) ботнет был впервые обнаружен в январе 2020 года, было найдено еще 20 версий. Среди жертв – правительства, университеты, медицинские центры и банки.

Fritzfrog – это безфайловое вредоносное ПО, тип угрозы, который живет в оперативной памяти, а не на вашем жестком диске, и использует уязвимости в существующем программном обеспечении для выполнения своей работы. Вместо серверов он использует P2P для отправки зашифрованных сообщений SSH для координации атак на разных машинах, обновления самого себя и обеспечения равномерного распределения работы по сети.

Несмотря на то, что Fritzfrog не имеет файлов, он создает бэкдор, используя открытый ключ SSH, чтобы разрешить доступ в будущем. Затем информация для входа в систему для взломанных машин сохраняется в сети.

Надежные пароли и аутентификация с открытым ключом обеспечивают защиту от этой атаки. Также неплохо изменить порт SSH или отключить доступ по SSH, если вы его не используете.

FinSpy

FinFisher продает FinSpy, связанную со шпионажем за журналистами и активистами, как готовое решение для наблюдения за правительствами. Ранее Amnesty International обнаружила версию вредоносного ПО для Linux в ноябре 2019 года.

FinSpy позволяет прослушивать трафик, получать доступ к личным данным, а также записывать видео и аудио с зараженных устройств.

Это стало известно общественности в 2011 году, когда протестующие обнаружили контракт на покупку FinSpy в офисах жестокой службы безопасности Египта после свержения президента Мубарака.

Пришло ли время пользователям Linux серьезно относиться к безопасности?

Хотя пользователи Linux могут быть не так уязвимы для многих угроз безопасности, как пользователи Windows, нет никаких сомнений в том, что ценность и объем данных, хранимых системами Linux, делают платформу более привлекательной для киберпреступников.

Если ФБР и АНБ обеспокоены, то индивидуальным предпринимателям или малым предприятиям, использующим Linux, следует начать уделять больше внимания безопасности уже сейчас, если они хотят избежать сопутствующего ущерба во время будущих атак на более крупные организации.

Вот наши советы по защите от растущего списка вредоносных программ для Linux:

  • Не запускайте двоичные файлы или скрипты из неизвестных источников.
  • Установите программное обеспечение безопасности, такое как антивирусные программы и детекторы руткитов.
  • Будьте осторожны при установке программ с помощью таких команд, как curl. Не запускайте команду, пока полностью не поймете, что она будет делать, начните исследование командной строки здесь .
  • Узнайте, как правильно настроить брандмауэр. Он должен регистрировать всю сетевую активность, блокировать неиспользуемые порты и, как правило, сводить ваш доступ к сети до минимально необходимого.
  • Регулярно обновляйте вашу систему; настроить автоматическую установку обновлений безопасности.
  • Убедитесь, что ваши обновления отправляются через зашифрованные соединения.
  • Включите систему аутентификации на основе ключей для SSH и пароля для защиты ключей.
  • Используйте двухфакторную аутентификацию (2FA) и храните ключи на внешних устройствах, таких как Yubikey.
  • Проверьте журналы на предмет атак.