2020年09月15日
研究人員發現,更多高級攻擊組織正在創建工具和平臺來針對基于Linux的設備。因此,本文希望分析有關Linux安全性的誤解,以及討論組織如何更好地保護其Linux計算機。
在過去的8年里,卡巴斯基全球研究與分析團隊觀察到,越來越多的APT組織開始針對運行Linux軟件的設備。
事實上,人們普遍認為Linux操作系統默認是安全的,并且不易受到惡意代碼的攻擊。這種誤解主要是因為在過去網絡犯罪分子創建針對對Linux臺式機和服務器的惡意軟件更少,并且相關攻擊也更少,與之相反的是針對Windows攻擊的報道很多。不過,研究人員認為,盡管Linux尚未遇到Windows系統所遭遇的大量病毒、蠕蟲和特洛伊木馬,但它仍然是一個有吸引力的目標。
APT組織之所以將目標瞄準Linux,關鍵因素是容器化趨勢推動了Linux的廣泛采用。向虛擬化和容器化的轉變使得大多數企業在某些日常任務中都使用Linux,而這些設備通常可以從Internet訪問,并且可以用作攻擊者的初始入口點。
此外,一些IT、電信公司和政府使用的Linux和macOS設備比Windows系統更多,這讓攻擊者別無選擇。
卡巴斯基的遙測表明,服務器是攻擊的最常見目標,其次是企業IT和網絡設備,然后是工作站。在某些情況下,攻擊者還會利用被入侵的Linux路由器對同一網絡中的Windows發起攻擊。最終造成攻擊者既可以訪問Linux服務器上的數據,又可以訪問運行Windows或可能已連接的macOS的端點。
不斷演變的威脅
攻擊者對Linux惡意軟件進行更改,從而針對Linux設備發起攻擊。剛開始編寫惡意軟件時,攻擊者的目標是操縱網絡流量。比如Cloud Snooper黑客組織就使用了一個面向服務器的Linux內核rootkit,旨在操縱Netfilter流量控制功能以及跨越目標防火墻的命令和控制通信。
而Barium(APT41)也有同樣的目標。該組織從2013年開始瞄準游戲公司以獲取經濟利益,隨著時間的推移,它開發了新的工具并追求更復雜的目標,使用名為MessageTap的Linux惡意軟件,攔截來自電信提供商基礎設施的短信。
此外,針對Linux的APT攻擊者經常使用基于Linux服務器和臺式機上可用的合法工具(例如,編譯代碼或運行Python腳本的能力),導致在日志中留下的攻擊痕跡更少,進一步保證了權限維持的可能。具體操作上,一般是感染IoT、網絡盒,或者替換受感染服務器上的合法文件。因為這些設備/內容不經常更新,并且在許多情況下沒有安裝防病毒軟件。
許多企業對網絡攻擊者擁有PHP后門、rootkit和為Linux編寫的利用代碼并不十分擔心,這是非常危險的訊號。雖然Linux沒有像Windows那么頻繁地成為攻擊目標,但研究人員建議企業采取措施保護環境免受此類攻擊。
為軟件保留一份可信來源的列表。
只安裝來自官方商店的應用程序。
檢查網絡設置并避免不必要的網絡應用程序。
從Linux發行版中正確配置其防火墻,以過濾流量并存儲主機的網絡活動。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
