国外的安全媒体一篇文章提到了Linux系统安全问题,这篇文章也正好可以借来纠正国内关于Linux牢不可破的神话,以前其被攻击少很大程度上因为其占有率,随着其占有率的提升,其被攻击的可能性逐渐升高,所以本文对提升整体网络安全意识,有一定的借鉴意义。
组织需要像网络中的任何其他端点一样保护、监控和管理 Linux,网络犯罪分子历来并没有过多关注 Linux 系统。事实上,Linux 以前是 IT 中受攻击最少的平台之一,但这种情况很快发生了变化。今天,我们看到了旨在攻击 Linux 系统的恶意软件,通常以可执行和可链接格式 (ELF) 的形式出现。Linux 正在成为攻击者更受欢迎的目标,因为它运行着许多网络的后端系统以及物联网设备和任务关键型应用程序的基于容器的解决方案。Linux 系统是一种流行的恶意软件传递机制。虽然不是最流行的,区别在于 HTML 和 Javascript,但不要认为可以忽略它们。基于 Linux 的攻击仍时刻在发生。
恶意软件交付机制
当不良行为者发现可以利用的漏洞时,其下一步通常是传播恶意软件以实现其目标。在决定使用什么平台时,黑客有多种方法可以在不引起注意的情况下将恶意软件带入系统。这被称为“黑客的选择”。他们还可以找到在这些系统中停留更长时间而不被注意的方法,这就是我们在高级持续犯罪 (APC) 中看到的情况。
研究人员观察到,在过去六个月中,HTML 一直是最常见的恶意软件传递方法,它与 Javascript 之间的差异约为 10%,HTML 在 5 月创下新高。
这并不是特别令人震惊。似乎每个平台,除了 XML,在 3 月份略有增长,随后在 4 月份下降,基本保持一致。鉴于大多数恶意软件开发人员只使用并专注于一个恶意软件交付平台,这种结果也算是意料之中的事情。
两个领先者是 HTML 和 Javascript,但 LNK 也做得很好。由于存在用于分发带有 LNK 扩展的恶意软件的恶意框架,现在执行这种攻击变得更加简单。LNK 是一个 Shell 项目,通过指向它来打开不同的程序、文件夹或文件。称为 eXcelForumla 或 XF 的 Excel 公式病毒会感染电子表格。
在这种情况下,将 CoinMiner 识别为在用户不知情的情况下执行活动的木马。建立远程访问连接、收集系统信息、拦截键盘输入、将更多恶意软件注入受感染的系统、下载/上传文件、启动拒绝服务 (DoS) 攻击、运行/终止进程是其中一些操作。
Linux安全防护不能打折扣
虽然 Linux 不是最流行的恶意软件传递方法之一,但这并不意味着它不会产生影响。如今,大多数基于 Linux 的恶意软件攻击都与加密挖掘有关。此外,使用这种传递方法的攻击者通常使用它来进行攻击、自动进行身份验证攻击,或者即使在发现和利用漏洞后仍继续攻击。
如果查看 Linux 平台上最普遍的威胁,当将一般 Linux 活动的数量与我们对基于 Linux 的恶意软件攻击的了解进行比较时, Mirai位居榜首也就不足为奇了,该僵尸网络自 2016 年就已经存在,但六年后,仍在被使用、利用和更新。
第二种最常见的 ELF 类型,BitCoinMiner,反映了最近的趋势。下一组威胁分散且数量较少,包括海啸、代理和 DDoS。然而,数量少并不总是等同于影响不大。因此,让我们看一下其他 ELF 检测,它们可以提供有关使用 Linux 的其他事物的更多信息。
虽然很明显 Miner 样本是迄今为止最常见的 ELF 检测,但一些勒索软件菌株——如 AvosLocker、Hive和 Vigorf——也使用 Linux。AvosLocker是一种众所周知的勒索软件,通常作为勒索软件即服务 (RaaS) 在暗网上分发和销售。尽管 AvosLocker 于 2021 年 7 月首次被发现,但事实证明,由于其能够被犯罪分子视为合适的目标并对其进行修改,因此组织和企业很难与之抗争。
另一种名为 Vigorf 的勒索软件变体在 2022 年 3 月开始流行,并且在数量方面,在 6 月超过了 Hive(勒索软件)和 Miner 恶意软件。此外,2019 年发现的基于 Golang 的恶意软件 Stealthworker 仍然存在,尽管数量非常少。
显然,忽视基于 Linux 的恶意软件攻击对网络安全状态的潜在影响是不明智的。市场占有率大小不一定与潜在危害相称。在保护网络时,需要了解所有威胁并准备好防御所有威胁。
好消息是,在大多数情况下,如果在其中一个系统上发现恶意软件,那么 SOC 团队可以包含一个受感染的单元,前提是他们能够近乎实时地检测和响应它。但这通常需要团队识别恶意功能,这很难做到,因为恶意软件开发人员专门逃避检测。这是一个很好的提醒,网络卫生的基础知识与数字风险保护 (DRPS) 等服务以及全面的安全网格方法相结合,可以大大帮助组织掌握恶意软件,无论其交付机制如何。
