談到網絡安全,不能忽視Linux系統
國外的安全媒體一篇文章提到了Linux系統安全問題,這篇文章也正好可以借來糾正國內關于Linux牢不可破的神話,以前其被攻擊少很大程度上因為其占有率,隨著其占有率的提升,其被攻擊的可能性逐漸升高,所以本文對提升整體網絡安全意識,有一定的借鑒意義。
組織需要像網絡中的任何其他端點一樣保護、監控和管理 Linux,網絡犯罪分子歷來并沒有過多關注 Linux 系統。事實上,Linux 以前是 IT 中受攻擊最少的平臺之一,但這種情況很快發生了變化。今天,我們看到了旨在攻擊 Linux 系統的惡意軟件,通常以可執行和可鏈接格式 (ELF) 的形式出現。Linux 正在成為攻擊者更受歡迎的目標,因為它運行著許多網絡的后端系統以及物聯網設備和任務關鍵型應用程序的基于容器的解決方案。Linux 系統是一種流行的惡意軟件傳遞機制。雖然不是最流行的,區別在于 HTML 和 Javascript,但不要認為可以忽略它們。基于 Linux 的攻擊仍時刻在發生。
惡意軟件交付機制
當不良行為者發現可以利用的漏洞時,其下一步通常是傳播惡意軟件以實現其目標。在決定使用什么平臺時,黑客有多種方法可以在不引起注意的情況下將惡意軟件帶入系統。這被稱為“黑客的選擇”。他們還可以找到在這些系統中停留更長時間而不被注意的方法,這就是我們在高級持續犯罪 (APC) 中看到的情況。
研究人員觀察到,在過去六個月中,HTML 一直是最常見的惡意軟件傳遞方法,它與 Javascript 之間的差異約為 10%,HTML 在 5 月創下新高。
這并不是特別令人震驚。似乎每個平臺,除了 XML,在 3 月份略有增長,隨后在 4 月份下降,基本保持一致。鑒于大多數惡意軟件開發人員只使用并專注于一個惡意軟件交付平臺,這種結果也算是意料之中的事情。
兩個領先者是 HTML 和 Javascript,但 LNK 也做得很好。由于存在用于分發帶有 LNK 擴展的惡意軟件的惡意框架,現在執行這種攻擊變得更加簡單。LNK 是一個 Shell 項目,通過指向它來打開不同的程序、文件夾或文件。稱為 eXcelForumla 或 XF 的 Excel 公式病毒會感染電子表格。
在這種情況下,將 CoinMiner 識別為在用戶不知情的情況下執行活動的木馬。建立遠程訪問連接、收集系統信息、攔截鍵盤輸入、將更多惡意軟件注入受感染的系統、下載/上傳文件、啟動拒絕服務 (DoS) 攻擊、運行/終止進程是其中一些操作。
Linux安全防護不能打折扣
雖然 Linux 不是最流行的惡意軟件傳遞方法之一,但這并不意味著它不會產生影響。如今,大多數基于 Linux 的惡意軟件攻擊都與加密挖掘有關。此外,使用這種傳遞方法的攻擊者通常使用它來進行攻擊、自動進行身份驗證攻擊,或者即使在發現和利用漏洞后仍繼續攻擊。
如果查看 Linux 平臺上最普遍的威脅,當將一般 Linux 活動的數量與我們對基于 Linux 的惡意軟件攻擊的了解進行比較時, Mirai位居榜首也就不足為奇了,該僵尸網絡自 2016 年就已經存在,但六年后,仍在被使用、利用和更新。
第二種最常見的 ELF 類型,BitCoinMiner,反映了最近的趨勢。下一組威脅分散且數量較少,包括海嘯、代理和 DDoS。然而,數量少并不總是等同于影響不大。因此,讓我們看一下其他 ELF 檢測,它們可以提供有關使用 Linux 的其他事物的更多信息。
雖然很明顯 Miner 樣本是迄今為止最常見的 ELF 檢測,但一些勒索軟件菌株——如 AvosLocker、Hive和 Vigorf——也使用 Linux。AvosLocker是一種眾所周知的勒索軟件,通常作為勒索軟件即服務 (RaaS) 在暗網上分發和銷售。盡管 AvosLocker 于 2021 年 7 月首次被發現,但事實證明,由于其能夠被犯罪分子視為合適的目標并對其進行修改,因此組織和企業很難與之抗爭。
另一種名為 Vigorf 的勒索軟件變體在 2022 年 3 月開始流行,并且在數量方面,在 6 月超過了 Hive(勒索軟件)和 Miner 惡意軟件。此外,2019 年發現的基于 Golang 的惡意軟件 Stealthworker 仍然存在,盡管數量非常少。
顯然,忽視基于 Linux 的惡意軟件攻擊對網絡安全狀態的潛在影響是不明智的。市場占有率大小不一定與潛在危害相稱。在保護網絡時,需要了解所有威脅并準備好防御所有威脅。
好消息是,在大多數情況下,如果在其中一個系統上發現惡意軟件,那么 SOC 團隊可以包含一個受感染的單元,前提是他們能夠近乎實時地檢測和響應它。但這通常需要團隊識別惡意功能,這很難做到,因為惡意軟件開發人員專門逃避檢測。這是一個很好的提醒,網絡衛生的基礎知識與數字風險保護 (DRPS) 等服務以及全面的安全網格方法相結合,可以大大幫助組織掌握惡意軟件,無論其交付機制如何。
