Является ли 2020 год годом вредоносных программ в Linux

Является ли 2020 год годом вредоносных программ в Linux

Раньше компьютеры на операционной системе Linux были защищены от большинства видов вредоносных программ, но теперь это не так.

Репутация Linux говорит сама за себя и часто считается менее уязвимой для угроз, которые регулярно поражают системы Microsoft Windows. Большая часть этой предполагаемой безопасности проистекает из относительно небольшого количества систем Linux, но начинают ли киберпреступники видеть ценность в выборе качества вместо количества?

Структура угроз от вредоносных программ меняется


Исследователи безопасности таких компаний, как Kaspersky и Blackberry, а также федеральные агентства, такие как ФБР и АНБ, предупреждают о том, что авторы вредоносных программ все больше внимания уделяют Linux.

ОС теперь признана средством доступа к ценным данным, таким как коммерческая тайна, интеллектуальная собственность и информация о персонале. Серверы Linux также могут использоваться в качестве промежуточной точки для заражения более широких сетей, заполненных устройствами Windows, macOS и Android.

Даже если это не ОС, работающая на вашем настольном компьютере или ноутбуке, ваши данные, скорее всего, рано или поздно будут доступны для Linux. Ваше облачное хранилище, VPN и поставщики электронной почты, а также ваш работодатель, страховая компания, государственные службы или университет почти наверняка используют Linux как часть своих сетей, и есть вероятность, что вы владеете или будете владеть Интернетом на базе Linux. Устройство Things (IoT) сейчас или в будущем.

вредоносных программ

За последние 12 месяцев было обнаружено множество угроз. Некоторые из них являются известными вредоносными программами для Windows, перенесенными на Linux, в то время как другие остаются незамеченными на серверах почти десять лет, что показывает, насколько группы безопасности недооценили риск.

Многие системные администраторы могут подумать, что их организация недостаточно важна, чтобы стать целью. Однако, даже если ваша сеть не является большим призом, ваши поставщики или клиенты могут оказаться более заманчивыми, и получение доступа к вашей системе, например, с помощью фишинг-атаки, может быть первым шагом к проникновению в их сеть. Так что стоит оценить, как вы защищаете свою систему.

Вредоносное ПО для Linux обнаружено в 2020 году


scams

Вот наш обзор угроз, выявленных за этот год.

1. RansomEXX trojan


В ноябре исследователи «Лаборатории Касперского» выяснили, что этот троян был перенесен на Linux в качестве исполняемого файла. У жертвы остаются файлы, зашифрованные с помощью 256-битного шифра AES, и инструкции по обращению к авторам вредоносных программ для восстановления их данных.

Версия для Windows атаковала несколько важных целей в 2020 году, в том числе Konica Minolta, Министерство транспорта Техаса и бразильскую судебную систему.

RansomEXX специально адаптирован для каждой жертвы, при этом название организации включается как в расширение зашифрованного файла, так и в адрес электронной почты в записке о выкупе.

2. Gitpaste-12


Gitpaste-12 — новый червь, заражающий серверы x86 и устройства Интернета вещей под управлением Linux. Он получил свое название от использования GitHub и Pastebin для загрузки кода, а также от 12 методов атаки.

Червь может отключить AppArmor, SELinux, брандмауэры и другие средства защиты, а также установить майнер криптовалюты.

3. IPStorm


Известный в Windows с мая 2019 года, в сентябре была обнаружена новая версия этого ботнета, способная атаковать Linux. Он обезвреживает убийцу нехватки памяти Linux, чтобы он продолжал работать, и убивает процессы безопасности, которые могут остановить его работу.

Издание Linux поставляется с дополнительными возможностями, такими как использование SSH, чтобы найти цели, использовать игровые услуги Паровых и ползать порносайтова фальсификацию кликов на рекламе.

Он также имеет склонность к заражению Android-устройств, подключенных через Android Debug Bridge (ADB).

4. Drovorub


ФБР и АНБ выделили этот руткит в августовском предупреждении. Он может обходить администраторов и антивирусное программное обеспечение, запускать команды root и позволять хакерам загружать и скачивать файлы. По словам двух агентств, Drovorub — это работа Fancy Bear, группы хакеров, которые работают на правительство России.

Заражение трудно обнаружить, но обновление до ядра не ниже 3.7 и блокировка ненадежных модулей ядра должны помочь избежать его.

5. Lucifer


Вредоносный бот для криптодобычи и распределенного отказа в обслуживании Lucifer впервые появился в Windows в июне и в Linux в августе. Инкарнация Люцифера в Linux допускает DDoS-атаки на основе HTTP, а также TCP, UCP и ICMP.

6. Penquin_x64


Этот новый штамм вредоносного ПО семейства Turla Penquin был обнаружен исследователями в мае. Это бэкдор, который позволяет злоумышленникам перехватывать сетевой трафик и запускать команды без получения root-прав.

В июле Касперский обнаружил, что эксплойт работает на десятках серверов в США и Европе.

7. Doki


Doki — это бэкдорный инструмент, который в основном нацелен на плохо настроенные серверы Docker для установки крипто-майнеров.

В то время как вредоносные программы обычно связываются с заранее определенными IP-адресами или URL-адресами для получения инструкций, создатели Doki создали динамическую систему, которая использует API криптоблокчейн Dogecoin. Это затрудняет отключение инфраструктуры команд, поскольку операторы вредоносных программ могут изменить сервер управления с помощью всего одной транзакции Dogecoin.

Чтобы избежать Doki, вы должны убедиться, что ваш интерфейс управления Docker правильно настроен.

8. TrickBot


TrickBot — это банковский троянец, используемый для атак программ-вымогателей и кражи личных данных, который также перешел с Windows на Linux. Anchor_DNS, один из инструментов, используемых группой, стоящей за TrickBot, появился в версии Linux в июле.

Anchor_Linux действует как бэкдор и обычно распространяется через zip-файлы. Вредоносная программа устанавливает задачу cron и связывается с сервером управления через DNS-запросы.

9. Tycoon


Троян Tycoon обычно распространяется как скомпрометированная среда выполнения Java внутри zip-архива. Исследователи обнаружили, что в июне он работает в системах Windows и Linux малого и среднего бизнеса, а также образовательных учреждений. Он шифрует файлы и требует выкупа.

10. Cloud Snooper


Этот руткит захватывает Netfilter, чтобы скрыть команды и кражу данных среди обычного веб-трафика в обход брандмауэров.

Система, впервые обнаруженная в облаке Amazon Web Services в феврале, может использоваться для контроля вредоносных программ на любом сервере за любым брандмауэром.

11. PowerGhost

Также в феврале исследователи Trend Micro обнаружили, что PowerGhost совершил скачок с Windows на Linux. Это безфайловый майнер криптовалюты, который может замедлить работу вашей системы и ухудшить работу оборудования из-за повышенного износа.

Версия для Linux может удалять или уничтожать антивирусные продукты и остается активной с помощью задачи cron. Он может устанавливать другие вредоносные программы, получать root-доступ и распространяться по сети с помощью SSH.

12. FritzFrog


С тех пор, как этот одноранговый (P2P) ботнет был впервые обнаружен в январе 2020 года, было найдено еще 20 версий. Среди жертв — правительства, университеты, медицинские центры и банки.

Fritzfrog — это безфайловое вредоносное ПО, тип угрозы, который живет в оперативной памяти, а не на вашем жестком диске, и использует уязвимости в существующем программном обеспечении для выполнения своей работы. Вместо серверов он использует P2P для отправки зашифрованных сообщений SSH для координации атак на разных машинах, обновления самого себя и обеспечения равномерного распределения работы по сети.

Несмотря на то, что Fritzfrog не имеет файлов, он создает бэкдор, используя открытый ключ SSH, чтобы разрешить доступ в будущем. Затем информация для входа в систему для взломанных машин сохраняется в сети.

Надежные пароли и аутентификация с открытым ключом обеспечивают защиту от этой атаки. Также неплохо изменить порт SSH или отключить доступ по SSH, если вы его не используете.

13.FinSpy

FinFisher продает FinSpy, связанную со шпионажем за журналистами и активистами, как готовое решение для наблюдения для правительств. Ранее Amnesty International обнаружила версию вредоносного ПО для Linux в ноябре 2019 года.

Это стало известно общественности в 2011 году, когда протестующие обнаружили контракт на покупку FinSpy в офисах службы безопасности Египта после свержения президента Мубарака.

Пришло ли время пользователям Linux более серьезно относиться к безопасности?


steel doored

Хотя пользователи Linux могут быть не так уязвимы для многих угроз безопасности, как пользователи Windows, нет сомнений, что ценность и объем данных, хранящихся в системах Linux, делают платформу более привлекательной для киберпреступников.

Если ФБР и АНБ обеспокоены, то частным предпринимателям или небольшим предприятиям, использующими Linux, следует начать уделять больше внимания безопасности уже сейчас, если они хотят избежать сопутствующего ущерба во время будущих атак на более крупные организации.

Вот наши советы по защите от растущего списка вредоносных программ для Linux:

  • Не запускайте двоичные файлы или скрипты из неизвестных источников.
  • Установите программное обеспечение безопасности, такое как антивирусные программы и детекторы руткитов.
  • Будьте осторожны при установке программ с помощью таких команд, как curl. Не запускайте команду, пока полностью не поймете, что она будет делать, начните исследование командной строки здесь .
  • Узнайте, как правильно настроить брандмауэр. Он должен регистрировать всю сетевую активность, блокировать неиспользуемые порты и, как правило, сводить ваш доступ к сети до минимально необходимого.
  • Регулярно обновляйте вашу систему; настроить автоматическую установку обновлений безопасности.
  • Убедитесь, что ваши обновления отправляются через зашифрованные соединения.
  • Включите систему аутентификации на основе ключей для SSH и пароля для защиты ключей.
  • Используйте двухфакторную аутентификацию (2FA) и храните ключи на внешних устройствах, таких как Yubikey.
  • Проверьте журналы логов на предмет атак.

 



Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии