Linux系统恶意软件正呈上升趋势,急需关注这六类入侵
发布时间:2022-06-08 14:20:03 所属栏目:安全 来源:互联网
导读:Linux 系统是一个令人垂涎的目标。它是众多应用程序后端和服务器的主机操作系统,并支持各种物联网 (IoT) 设备。然而,对基于该系统运行的设备而言,其保护工作仍做得不够。 近年来,网络犯罪分子和民族国家的攻击者已将目标对准了基于 Linux 的系统。根据 V
|
Linux 系统是一个令人垂涎的目标。它是众多应用程序后端和服务器的主机操作系统,并支持各种物联网 (IoT) 设备。然而,对基于该系统运行的设备而言,其保护工作仍做得不够。 近年来,网络犯罪分子和民族国家的攻击者已将目标对准了基于 Linux 的系统。根据 VMware 公司最近的一份报告,其入侵的目标通常是企业和政府网络,或获取进入关键基础设施的访问权限。他们充分利用了薄弱的身份验证、未修补的漏洞和服务器的错误配置等因素。 以下是针对 Linux 系统的六类攻击,需要注意: 1、勒索软件是以虚拟机映像为目标 近年来,勒索软件团伙开始窥探 Linux 系统环境。恶意软件样本的质量存在很大差异,但 Conti、DarkSide、REvil 和 Hive 等团伙正在迅速提升自己的技能。 通常,针对云环境的勒索软件攻击是经过精心策划的。VMware 公司表示,网络犯罪分子在开始加密文件之前,会尝试使受害者的系统完全瘫痪。 最近,RansomExx/Defray777 和 Conti 等团伙开始以虚拟环境中用于处理工作负载的 Linux 系统主机映像为目标。“这一令人担忧的新发展趋势表明,攻击者如何在云环境中寻找最有价值的资产,以造成最大的破坏。”VMware 公司在报告中写道。 对托管在 ESXi Hypervisor 上的虚拟机映像进行加密,这对这些团伙而言尤其具有吸引力,因为他们知道自己会对系统运行产生巨大影响。Trellix 安全公司的一份报告称,“勒索软件领域的一个常见主题就是开发专门用于加密虚拟机及其管理环境的新二进制程序”。 2、加密劫持正呈上升趋势 加密劫持是最常见的一类 Linux 系统恶意软件,因为它可以快速赚钱。托卡佐夫斯基说:“该软件的目的是利用计算资源为攻击者生成加密货币。”通常是门罗币。 第一次被人们所关注的攻击事件发生在 2018 年,当时特斯拉公司的公有云成为受害者。据 RedLock 云监控公司称,“该黑客侵入了特斯拉公司的 Kubernetes 控制台,该控制台没有设置密码保护。”“在 Kubernetes 的一个单元中,访问权限凭证暴露在特斯拉公司的亚马逊网络服务 (AWS) 环境中,其中包含一个 Amazon S3(亚马逊简单存储服务)存储桶,而该存储桶中含有遥感监测等敏感数据。” 3、三类恶意软件(XorDDoS、Mirai 和 Mozi)是以物联网为目标 物联网是基于 Linux 系统运行的,几乎没有例外,这些设备的简单性使其很容易成为潜在的受害者。CrowdStrike 公司的报告称,与 2020 年相比,2021 年针对在 Linux 系统上运行的小工具的恶意软件数量增加了 35%。这三类恶意软件占总数的 22%:XorDDoS、Mirai 和 Mozi。这些恶意软件遵循相同的模式,即感染设备,将这些设备聚集到僵尸网络中,然后利用这些设备执行 DDoS 攻击。 Mirai 是一种 Linux 系统木马,其利用 Telnet 和安全外壳 (SSH) 暴力破解攻击来破坏设备,被视为许多 Linux 系统 DDoS 恶意软件的共同祖先。当其源代码在 2016 年公开后,便出现了多个不同版本。此外,恶意软件作者从Mirai木马中吸取了经验,并将其功能应用到自己的木马程序中。 CrowdStrike 公司注意到,与 2021 年第一季度相比,2022 年第一季度针对英特尔的 Linux 系统所编译的不同版本 Mirai 恶意软件数量增加了一倍以上,其中针对 32 位 x86 处理器的不同版本数量增加最多。该报告称:“Mirai 变体木马不断发展,以利用未修补的漏洞来扩大其攻击范围。” 另一个流行的 Linux 系统木马是 XorDDoS。微软公司发现,这一威胁在过去六个月中上升了 254%。XorDDoS 木马利用针对 ARM、x86 和 x64 Linux 系统架构所编译的自身变体来增加成功感染目标系统的可能性。与 Mirai 木马一样,XorDDoS 木马也使用蛮力攻击来获取其目标的访问权限,一旦进入后,它会扫描端口 2375 处于开放状态的 Docker 服务器,以获得对主机的远程根目录访问权限,而无需输入密码。 Mozi 恶意软件会以某种类似的方式来破坏其目标,同时为了防止其他恶意软件取代自己的位置,会阻塞 SSH 和 Telnet 端口。它会创建一个点对点的僵尸网络,并会使用分布式哈希表 (DHT) 系统将其与指挥和控制服务器之间的通信隐藏在合法的 DHT 流量背后。 根据 Fortinet 公司的《全球安全威胁状况报告》(Global Threat Landscape Report),最成功的僵尸网络活动随着时间的推移始终在持续进行。这家安全公司发现,恶意软件作者投入了大量精力来确保其感染状态能持续存在,这意味着重新启动设备也不会解除黑客对受感染系统的控制。 4、国家发起的攻击行为是以 Linux 系统环境为目标 监视民族国家团体的安全研究人员注意到,这些团体越来越多地以 Linux 系统环境为目标。Intezer 公司的安全研究员瑞安•罗宾逊 (Ryan Robinson) 说:“随着俄乌战争的爆发,已有很多 Linux 系统恶意软件被攻击者使用,包括 wiper。”据 Cyfirma 网络安全公司称,在战争开始之前的几天,俄罗斯 APT 组织 Sandworm 就攻击了英国和美国机构的 Linux 系统。 根据 ESET 公司的报告,Linux 系统 wiper 恶意软件“可通过使用 shred 命令(如果可用的话)或只是使用 dd 命令(和 if=/dev/random)来破坏连接到该系统的磁盘的全部内容”。“如果连接了多个磁盘,则数据删除过程会并行进行,以加快速度。”ESET 公司将该恶意软件归咎于 Sandstorm APT 组织,该组织曾在 2016 年利用 Industroyer 恶意软件切断乌克兰的电力。 至于其他民族国家攻击者,微软和 Mandiant 公司注意到,由国家支持的多个团体一直在利用 Windows 和 Linux 系统上知名的 Log4j 漏洞来获取其目标网络的访问权限。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号