机房360首页
当前位置:首页 » 网络安全 » Linux系统恶意软件正呈上升趋势——需要关注的六类攻击

Linux系统恶意软件正呈上升趋势——需要关注的六类攻击

来源:企业网D1Net 作者:Harris编辑 更新时间:2022/6/9 7:01:11

摘要:Linux系统是一个令人垂涎的目标。它是众多应用程序后端和服务器的主机操作系统,并支持各种物联网(IoT)设备。然而,对基于该系统运行的设备而言,其保护工作仍做得不够。

   Linux系统是一个令人垂涎的目标。它是众多应用程序后端和服务器的主机操作系统,并支持各种物联网(IoT)设备。然而,对基于该系统运行的设备而言,其保护工作仍做得不够。
  
  “Linux系统恶意软件一直被严重忽视,”VMware公司安全威胁情报业务高级主管乔瓦尼•维格纳(GiovanniVigna)说。“由于大多数云主机运行Linux系统,因此,破坏基于Linux系统的平台,可使攻击者访问大量资源或通过勒索软件和wiper恶意软件造成重大破坏。”
  
  近年来,网络犯罪分子和民族国家的攻击者已将目标对准了基于Linux的系统。根据VMware公司最近的一份报告,其入侵的目标通常是企业和政府网络,或获取进入关键基础设施的访问权限。他们充分利用了薄弱的身份验证、未修补的漏洞和服务器的错误配置等因素。
  
  Linux系统恶意软件不仅变得越来越普遍,而且越来越多样化。Intezer安全公司研究了各种恶意软件的代码独特性,以了解开发者的创新程度。该公司发现,与2020年相比,2021年大多数类别的恶意软件的创新程度都有所增加,包括勒索软件、银行木马程序和僵尸网络。据一份报告称:“针对Linux系统的恶意软件创新程度的提升可能与各组织机构越来越多地转向使用云环境有关,而这些环境常常依赖Linux系统运行。”“Linux系统恶意软件的创新程度接近基于Windows系统恶意软件的水平。”
  
  随着Linux系统恶意软件的不断发展,各组织机构需要关注最常见的攻击,并要始终对每一环节加强安全性。“尽管Linux系统可能比其他操作系统更安全,但需要注意的是,一个操作系统的安全性取决于其最薄弱的环节,”Cofense公司首席安全威胁顾问罗尼•托卡佐夫斯基(RonnieTokazowski)说。
  
  以下是针对Linux系统的六类攻击,需要注意:
  
  1.勒索软件是以虚拟机映像为目标
  
  近年来,勒索软件团伙开始窥探Linux系统环境。恶意软件样本的质量存在很大差异,但Conti、DarkSide、REvil和Hive等团伙正在迅速提升自己的技能。
  
  通常,针对云环境的勒索软件攻击是经过精心策划的。VMware公司表示,网络犯罪分子在开始加密文件之前,会尝试使受害者的系统完全瘫痪。
  
  最近,RansomExx/Defray777和Conti等团伙开始以虚拟环境中用于处理工作负载的Linux系统主机映像为目标。“这一令人担忧的新发展趋势表明,攻击者如何在云环境中寻找最有价值的资产,以造成最大的破坏。”VMware公司在报告中写道。
  
  对托管在ESXiHypervisor上的虚拟机映像进行加密,这对这些团伙而言尤其具有吸引力,因为他们知道自己会对系统运行产生巨大影响。Trellix安全公司的一份报告称,“勒索软件领域的一个常见主题就是开发专门用于加密虚拟机及其管理环境的新二进制程序”。
  
  2.加密劫持正呈上升​​趋势
  
  加密劫持是最常见的一类Linux系统恶意软件,因为它可以快速赚钱。托卡佐夫斯基说:“该软件的目的是利用计算资源为攻击者生成加密货币。”通常是门罗币。
  
  第一次被人们所关注的攻击事件发生在2018年,当时特斯拉公司的公有云成为受害者。据RedLock云监控公司称,“该黑客侵入了特斯拉公司的Kubernetes控制台,该控制台没有设置密码保护。”“在Kubernetes的一个单元中,访问权限凭证暴露在特斯拉公司的亚马逊网络服务(AWS)环境中,其中包含一个AmazonS3(亚马逊简单存储服务)存储桶,而该存储桶中含有遥感监测等敏感数据。”
  
  加密劫持已变得越来越普遍,其中XMRig和Sysrv已成为最知名的加密矿工软件。SonicWall公司的一份报告显示,与2020年相比,2021年的攻击次数增加了19%。“对于政府和医疗领域的客户而言,这一增幅达到了三位数,即加密劫持次数分别增长了709%和218%。”该报告称。这家安全公司的统计数据显示,每个客户网络平均受到338次加密劫持攻击。
  
  托卡佐夫斯基表示,为了锁定受害者,许多团伙使用默认密码列表、利用bash漏洞,或故意锁定并利用那些安全性较低且配置错误的系统漏洞。“其中一些错误配置可能涉及到目录遍历攻击、远程文件包含攻击,或者利用默认安装的错误配置过程。”他说。
  
  3.三类恶意软件(XorDDoS、Mirai和Mozi)是以物联网为目标
  
  物联网是基于Linux系统运行的,几乎没有例外,这些设备的简单性使其很容易成为潜在的受害者。CrowdStrike公司的报告称,与2020年相比,2021年针对在Linux系统上运行的小工具的恶意软件数量增加了35%。这三类恶意软件占总数的22%:XorDDoS、Mirai和Mozi。这些恶意软件遵循相同的模式,即感染设备,将这些设备聚集到僵尸网络中,然后利用这些设备执行DDoS攻击。
  
  Mirai是一种Linux系统木马,其利用Telnet和安全外壳(SSH)暴力破解攻击来破坏设备,被视为许多Linux系统DDoS恶意软件的共同祖先。当其源代码在2016年公开后,便出现了多个不同版本。此外,恶意软件作者从Mirai木马中吸取了经验,并将其功能应用到自己的木马程序中。
  
  CrowdStrike公司注意到,与2021年第一季度相比,2022年第一季度针对英特尔的Linux系统所编译的不同版本Mirai恶意软件数量增加了一倍以上,其中针对32位x86处理器的不同版本数量增加最多。该报告称:“Mirai变体木马不断发展,以利用未修补的漏洞来扩大其攻击范围。”
  
  另一个流行的Linux系统木马是XorDDoS。微软公司发现,这一威胁在过去六个月中上升了254%。XorDDoS木马利用针对ARM、x86和x64Linux系统架构所编译的自身变体来增加成功感染目标系统的可能性。与Mirai木马一样,XorDDoS木马也使用蛮力攻击来获取其目标的访问权限,一旦进入后,它会扫描端口2375处于开放状态的Docker服务器,以获得对主机的远程根目录访问权限,而无需输入密码。
  
  Mozi恶意软件会以某种类似的方式来破坏其目标,同时为了防止其他恶意软件取代自己的位置,会阻塞SSH和Telnet端口。它会创建一个点对点的僵尸网络,并会使用分布式哈希表(DHT)系统将其与指挥和控制服务器之间的通信隐藏在合法的DHT流量背后。
  
  根据Fortinet公司的《全球安全威胁状况报告》(GlobalThreatLandscapeReport),最成功的僵尸网络活动随着时间的推移始终在持续进行。这家安全公司发现,恶意软件作者投入了大量精力来确保其感染状态能持续存在,这意味着重新启动设备也不会解除黑客对受感染系统的控制。
  
  4.国家发起的攻击行为是以Linux系统环境为目标
  
  监视民族国家团体的安全研究人员注意到,这些团体越来越多地以Linux系统环境为目标。Intezer公司的安全研究员瑞安•罗宾逊(RyanRobinson)说:“随着俄乌战争的爆发,已有很多Linux系统恶意软件被攻击者使用,包括wiper。”据Cyfirma网络安全公司称,在战争开始之前的几天,俄罗斯APT组织Sandworm就攻击了英国和美国机构的Linux系统。
  
  ESET是密切关注这场冲突及其网络安全影响的公司之一。“一个月前,我们一直在研究Industroyer2恶意软件,其被用于攻击一家乌克兰能源供应商。”ESET公司高级恶意软件研究员Marc-ÉtienneLéveillé说。“这次攻击包括使用SSH来传播Linux和Solaris系统蠕虫,还可能涉及窃取凭据。这是一次非常有针对性的攻击,其目标显然是为了破坏数据库和文件系统的数据。”
  
  根据ESET公司的报告,Linux系统wiper恶意软件“可通过使用shred命令(如果可用的话)或只是使用dd命令(和if=/dev/random)来破坏连接到该系统的磁盘的全部内容”。“如果连接了多个磁盘,则数据删除过程会并行进行,以加快速度。”ESET公司将该恶意软件归咎于SandstormAPT组织,该组织曾在2016年利用Industroyer恶意软件切断乌克兰的电力。
  
  至于其他民族国家攻击者,微软和Mandiant公司注意到,由国家支持的多个团体一直在利用Windows和Linux系统上知名的Log4j漏洞来获取其目标网络的访问权限。
  
  5.无文件攻击难以被侦测
  
  美国电话电报公司(AT&T)AlienLabs实验室的安全研究人员发现,包括TeamTNT团体在内的多个攻击参与者已开始使用Ezuri,这是一款用Golang语言编写的开源工具。攻击者使用Ezuri来加密恶意代码。在解密时,其工作负载直接在内存中执行,而不会在磁盘上留下任何痕迹,这使得这些攻击行为很难被杀毒软件检测到。
  
  与此技术相关的主要团体TeamTNT是以未正确配置的Docker系统为目标,其目的是安装DDoS机器人和加密矿工。
  
  6.Linux系统恶意软件以Windows系统设备为目标
  
  Linux系统恶意软件还可以通过适用于Linux的Windows子系统(WSL)来利用Windows系统设备,WSL是Windows系统的一个功能,允许Linux系统二进制文件在Windows操作系统上本地运行。WSL必须手动安装或通过加入WindowsInsider计划来安装,但如果攻击者拥有更高的访问权限,则可以安装该功能。
  
  Qualys云安全公司研究了利用WSL功能在Windows系统设备上进行攻击或拥有持续性的可行性。到目前为止,该公司分析了两种技术(即代理执行和安装实用程序),并得出结论认为,这两种技术都是高度可行的。据该公司的安全专家称,想要防范此类攻击的组织机构可以禁用虚拟化和禁止安装WSL功能。这还有助于持续检查正在运行的进程。
  
  攻击者还将Windows系统工具的功能移植到Linux系统,旨在以更多的平台为目标。一个例子是VermilionStrike,它是基于CobaltStrike(一款流行的Windows系统渗透测试工具)开发的,但也适用于Windows和Linux系统。VermilionStrike工具可为攻击者提供远程访问功能,包括文件处理和shell命令执行。该工具被用于攻击电信公司、政府机构和金融机构,攻击者的主要目的是进行间谍活动。
  
  Intezer公司的研究人员在其报告中称,“VermilionStrike工具不可能是CobaltStrikeBeacon最后一个针对Linux系统的工具”。
  
  防范针对Linux系统环境的恶意软件
  
  当系统管理员和开发人员与时间和最后期限争分夺秒时,安全性就成为最薄弱的环节。例如,开发人员可能会盲目地相信来自社区的代码;他们从StackOverflow中复制/粘贴代码,在克隆一个GitHub库后快速运行软件,或者将DockerHub中的应用程序直接部署到自己的生产环境中。
  
  机会主义攻击者会利用这种“注意力经济”。他们会将加密矿工添加到Docker容器中,或创建与频繁使用的库名称几乎相同的开源包,以及利用部分开发人员偶尔出现的拼写错误。
  
  “利用开放部署的Docker和Kubernetes,这是非常有吸引力的:粗心的人会将他们部署的容器向外界开放,从而使这些系统很容易被别人利用,并用作后续攻击或从事其他货币化活动(例如门罗币挖矿)的桥头堡。”VMware公司的维格纳说。
  
  “我是开源软件和文化的热心传播者和倡导者,但真正让我感到不安的一件事是公共软件库中涉及的信任链的脆弱性。”NucleusSecurity公司漏洞研究工程师瑞安•克里贝拉尔(RyanCribelar)说。“当然,这不是Linux系统特有的问题,例如,潜藏在PyPi或NPM库中的恶意库无疑会导致Linux系统管理员和安全团队最难以入眠。”
  
  对于Linux系统服务器而言,配置错误也是一个大问题,这可能发生在基础设施中的多个位置。“通常,防火墙或安全组被错误设置,可使访问权限扩至更大的互联网范围,从而使外部访问权限能够在Linux系统服务器上部署应用程序。”Intezer公司的罗宾逊说。
  
  应用程序常常被错误配置,从而使用户在没有身份验证或使用默认凭据的情况下进行访问。“根据错误配置的应用程序不同,攻击者将能够窃取信息或在Linux服务器上运行恶意代码。”罗宾逊补充道。“常见的例子包括错误配置的Docker守护进程,这可以让攻击者能够运行他们自己的容器,或错误配置的应用程序(例如ApacheAirflow工具)导致泄露密码和客户信息。”罗宾逊补充说,默认配置通常不等同于安全配置。
  
  CrowdStrike公司恶意软件研究高级总监乔尔·斯珀洛克(JoelSpurlock)看到的另一个问题是打补丁。他认为,各组织机构“要么没有或不愿意让设备保持最新版本”。应该定期打补丁,而且像EDR和零信任这样的流行语也应该出现在你的字典里。
  
  针对Linux系统环境的恶意软件在消费设备和服务器、虚拟环境和专用操作系统各领域中快速发展,因此,保护所有这些领域的一些必要安全措施需要重点关注和精心规划。
  
  编辑:Harris

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/202269/n2945146467.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
转载声明:凡注明来源的文章其内容和图片均为网上转载,非商业用途,如有侵权请告知,会删除。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片