研究人員發(fā)現(xiàn),更高級的攻擊組正在為基于Linux的設(shè)備創(chuàng)建工具和平臺�����。
本文的目的是分析對Linux安全性的誤解��,并說明公司如何更好地保護其Linux計算機。
在過去的8年中�,卡巴斯基的全球研究和分析團隊發(fā)現(xiàn),越來越多的APT組織已開始將目標瞄準運行Linux軟件的設(shè)備����。
實際上,通常認為Linux操作系統(tǒng)默認情況下是安全的�����,并且不容易受到惡意代碼攻擊。
這種誤解主要是由于以下事實:過去���,網(wǎng)絡(luò)犯罪分子產(chǎn)生的針對Linux臺式機和服務(wù)器的惡意軟件和相關(guān)攻擊較少��。
相反�����,有許多Windows攻擊的報告�。
但是���,研究人員認為�,盡管Linux尚未遇到Windows系統(tǒng)遇到的大量病毒����,蠕蟲和特洛伊木馬,但它仍然是一個有吸引力的目標��。
APT組織針對Linux的關(guān)鍵因素是容器化趨勢促進了Linux的廣泛采用����。
向虛擬化和容器化的轉(zhuǎn)變已導(dǎo)致大多數(shù)公司將Linux用于某些日常任務(wù)�,這些設(shè)備通?����?梢詮腎nternet訪問���,并且可以用作攻擊者的初始切入點。
此外��,一些IT��,電信公司和政府使用的Linux和macOS設(shè)備比Windows系統(tǒng)更多���,從而使攻擊者別無選擇�。
卡巴斯基的遙測技術(shù)表明��,服務(wù)器是最常見的攻擊目標�����,其次是企業(yè)IT和網(wǎng)絡(luò)設(shè)備��,然后是工作站。
在某些情況下����,攻擊者還將使用受感染的Linux路由器在同一網(wǎng)絡(luò)上的Windows上發(fā)起攻擊。
最后�����,攻擊者可以訪問Linux服務(wù)器上的數(shù)據(jù)以及可能連接了運行Windows或macOS的端點�。
不斷發(fā)展的威脅參與者對Linux惡意軟件進行了更改,以對Linux設(shè)備發(fā)起攻擊�����。
首次編寫惡意軟件時�,攻擊者的目標是操縱網(wǎng)絡(luò)流量。
例如�,Cloud Snooper黑客小組使用面向服務(wù)器的Linux內(nèi)核rootkit,該套件旨在操縱Netfilter流控制功能以及跨目標防火墻的命令和控制通信�����。
而鋇(APT41)具有相同的目標��。
該組織從2013年開始以游戲公司為目標���,以獲取經(jīng)濟利益����。
隨著時間的流逝,它開發(fā)了新的工具并追求了更復(fù)雜的目標���。
它使用名為MessageTap的Linux惡意軟件來攔截來自電信提供商基礎(chǔ)設(shè)施的通信�����。
短信。
此外���,基于Linux的APT攻擊者經(jīng)常使用基于Linux的服務(wù)器和臺式機上可用的合法工具(例如���,編譯代碼或運行Python腳本的能力),從而減少了日志中的攻擊跟蹤并進一步確保了權(quán)限的維護��。
可能的��。
就特定操作而言���,通常是感染物聯(lián)網(wǎng)��,網(wǎng)絡(luò)盒或替換受感染服務(wù)器上的合法文件���。
因為這些設(shè)備/內(nèi)容不經(jīng)常更新���,并且在許多情況下沒有安裝防病毒軟件。
許多公司并不十分擔心網(wǎng)絡(luò)攻擊者擁有PHP后門�,rootkit和為Linux編寫的利用代碼。
這是一個非常危險的信號�。
盡管Linux的攻擊頻率不如Windows,但是研究人員建議公司采取措施保護環(huán)境免受此類攻擊���。
保留該軟件的受信任來源列表�����。
僅從官方商店安裝應(yīng)用程序�����。
檢查網(wǎng)絡(luò)設(shè)置���,避免不必要的網(wǎng)絡(luò)應(yīng)用程序。
從Linux發(fā)行版中正確配置其防火墻����,以過濾流量并存儲主機的網(wǎng)絡(luò)活動����。
