Η φήμη του για την ασφάλεια σημαίνει ότι το Linux θεωρείται συχνά λιγότερο ευάλωτο σε είδη απειλών που μαστίζουν τακτικά τα συστήματα Microsoft Windows. Μεγάλο μέρος αυτής της αντιληπτής ασφάλειας προέρχεται από τον σχετικά χαμηλό αριθμό συστημάτων Linux, αλλά οι εγκληματίες στον κυβερνοχώρο αρχίζουν να βλέπουν αξία στην επιλογή ποιότητα σε σχέση με την ποσότητα?
Το Linux Threat Landscape αλλάζει
Ερευνητές ασφαλείας σε εταιρείες όπως το Kaspersky και το Blackberry, μαζί με ομοσπονδιακές υπηρεσίες όπως το FBI και NSA προειδοποιούν για τους δημιουργούς κακόβουλων προγραμμάτων να αυξάνουν την εστίασή τους στο Linux.
Το λειτουργικό σύστημα αναγνωρίζεται πλέον ως πύλη για πολύτιμα δεδομένα, όπως εμπορικά μυστικά, πνευματική ιδιοκτησία και πληροφορίες προσωπικού. Οι διακομιστές Linux μπορούν επίσης να χρησιμοποιηθούν ως σημείο στάσης για μόλυνση ευρύτερων δικτύων γεμάτων με συσκευές Windows, macOS και Android.
Ακόμα κι αν δεν λειτουργεί το λειτουργικό σύστημα στον επιτραπέζιο ή φορητό υπολογιστή σας, τα δεδομένα σας είναι πιθανό να εκτεθούν στο Linux αργά ή γρήγορα. Οι πάροχοι cloud storage, VPN και email, καθώς και ο εργοδότης σας, ο ασφαλιστής υγείας, οι κυβερνητικές υπηρεσίες ή το πανεπιστήμιο, είναι σχεδόν σίγουρα να εκτελείτε το Linux ως μέρος των δικτύων τους και είναι πιθανό να είστε κάτοχος ή θα έχετε μια συσκευή Internet Of Things (IoT) που λειτουργεί με Linux τώρα ή στο μελλοντικός.
Πολλές απειλές έχουν αποκαλυφθεί τους τελευταίους 12 μήνες. Μερικά είναι γνωστά κακόβουλα προγράμματα των Windows που μεταφέρονται στο Linux, ενώ άλλα καθίστανται μη εντοπισμένα σε διακομιστές για σχεδόν μια δεκαετία, δείχνοντας πόσες ομάδες ασφαλείας έχουν υποτιμήσει τον κίνδυνο.
Πολλοί διαχειριστές συστημάτων μπορεί να υποθέσουν ότι η οργάνωσή τους δεν είναι αρκετά σημαντική ώστε να είναι στόχος. Ωστόσο, ακόμα και αν το δίκτυό σας δεν είναι μεγάλο βραβείο, οι προμηθευτές ή οι πελάτες σας μπορεί να αποδειχθούν πιο δελεαστικοί και Η πρόσβαση στο σύστημά σας, μέσω μιας επίθεσης ηλεκτρονικού ψαρέματος, για παράδειγμα, μπορεί να είναι το πρώτο βήμα για τη διείσδυση δικο τους. Έτσι είναι αξίζει να αξιολογηθεί πώς προστατεύετε το σύστημά σας.
Ανεξάρτητα από το αν πιστεύετε ότι το Linux είναι το πιο ασφαλές λειτουργικό σύστημα, όλα τα λειτουργικά συστήματα έχουν κινδύνους και τρωτά σημεία που μπορούν να αξιοποιηθούν. Δείτε πώς μπορείτε να τα αντιμετωπίσετε στο Linux.
Linux Malware Ανακαλύφθηκε το 2020
Εδώ είναι το δικό μας μάνδρισμα ζώων των απειλών που εντοπίστηκαν τον τελευταίο χρόνο.
RansomEXX Trojan
Οι ερευνητές της Kaspersky αποκάλυψαν τον Νοέμβριο ότι αυτός ο Δούρειος είχε μεταφερθεί στο Linux ως εκτελέσιμο. Το θύμα αφήνεται με αρχεία κρυπτογραφημένα με κρυπτογράφηση AES 256-bit και οδηγίες σχετικά με την επικοινωνία με τους δημιουργούς κακόβουλου λογισμικού για την ανάκτηση των δεδομένων τους.
Η έκδοση των Windows επιτέθηκε σε σημαντικούς στόχους το 2020, όπως η Konica Minolta, το Υπουργείο Μεταφορών του Τέξας και το δικαστήριο της Βραζιλίας.
Το RansomEXX είναι ειδικά προσαρμοσμένο σε κάθε θύμα, με το όνομα του οργανισμού που περιλαμβάνεται τόσο στην κρυπτογραφημένη επέκταση αρχείου όσο και στη διεύθυνση email στη σημείωση λύτρων.
Gitpaste-12
Το Gitpaste-12 είναι ένα νέο worm που μολύνει διακομιστές x86 και συσκευές IoT που εκτελούν Linux. Παίρνει το όνομά του από τη χρήση του GitHub και του Pastebin για λήψη κώδικα και για τις 12 μεθόδους επίθεσης.
Το worm μπορεί να απενεργοποιήσει το AppArmor, το SELinux, τα τείχη προστασίας και άλλες άμυνες, καθώς και να εγκαταστήσει έναν ανθρακωρύχο κρυπτογράφησης.
IPStorm
Γνωστό στα Windows από τον Μάιο του 2019, μια νέα έκδοση αυτού του botnet ικανή να επιτεθεί στο Linux ανακαλύφθηκε τον Σεπτέμβριο. Αφοπλίζει το δολοφόνο εκτός μνήμης του Linux για να συνεχίσει να λειτουργεί και σκοτώνει διαδικασίες ασφαλείας που μπορεί να το σταματήσουν να λειτουργεί.
Η έκδοση Linux συνοδεύεται από επιπλέον δυνατότητες, όπως η χρήση SSH για την εύρεση στόχων, την εκμετάλλευση υπηρεσιών παιχνιδιού Steam και την ανίχνευση πορνογραφικών ιστότοπων για την απόκρυψη κλικ σε διαφημίσεις.
Έχει επίσης την προτίμηση να μολύνει συσκευές Android που συνδέονται μέσω του Android Debug Bridge (ADB).
Drovorub
Το FBI και η NSA τόνισαν αυτό το rootkit σε προειδοποίηση τον Αύγουστο. Μπορεί να αποφύγει τους διαχειριστές και το λογισμικό προστασίας από ιούς, να εκτελέσει εντολές root και να επιτρέψει στους εισβολείς να φορτώσουν και να κατεβάσουν αρχεία. Σύμφωνα με τα δύο πρακτορεία, το Drovorub είναι έργο του Fancy Bear, μιας ομάδας χάκερ που εργάζεται για τη ρωσική κυβέρνηση.
Η μόλυνση είναι δύσκολο να εντοπιστεί, αλλά η αναβάθμιση τουλάχιστον στον πυρήνα 3,7 και ο αποκλεισμός των μη αξιόπιστων μονάδων πυρήνα θα πρέπει να συμβάλουν στην αποφυγή του.
Εωσφόρος
Η κακόβουλη εξόρυξη κρυπτογράφησης Lucifer και το διανεμημένο bot άρνησης υπηρεσίας εμφανίστηκε για πρώτη φορά στα Windows τον Ιούνιο και στο Linux τον Αύγουστο. Η ενσάρκωση Linux της Lucifer επιτρέπει επιθέσεις DDoS που βασίζονται σε HTTP, καθώς και σε TCP, UCP και ICMP.
Penquin_x64
Αυτό το νέο στέλεχος της οικογένειας κακόβουλου λογισμικού Turla Penquin αποκαλύφθηκε από ερευνητές τον Μάιο. Είναι μια πίσω πόρτα που επιτρέπει στους εισβολείς να παρακολουθούν την κυκλοφορία του δικτύου και να εκτελούν εντολές χωρίς να αποκτούν ρίζες.
Ο Kaspersky βρήκε το εκμεταλλεύσιμο να λειτουργεί σε δεκάδες διακομιστές στις ΗΠΑ και την Ευρώπη τον Ιούλιο.
Ντόκι
Το Doki είναι ένα εργαλείο backdoor που στοχεύει κυρίως τους διακομιστές Docker που δεν έχουν ρυθμιστεί σωστά για την εγκατάσταση κρυπτογράφησης.
Ενώ το κακόβουλο λογισμικό επικοινωνεί συνήθως με προκαθορισμένες διευθύνσεις IP ή διευθύνσεις URL για τη λήψη οδηγιών, οι δημιουργοί του Doki έχουν δημιουργήσει ένα δυναμικό σύστημα που χρησιμοποιεί το API της αλυσίδας κρυπτογράφησης Dogecoin. Αυτό καθιστά δύσκολη την κατάργηση της υποδομής εντολών, καθώς οι χειριστές κακόβουλου λογισμικού μπορούν να αλλάξουν τον διακομιστή ελέγχου με μία μόνο συναλλαγή Dogecoin.
Για να αποφύγετε το Doki, πρέπει να βεβαιωθείτε ότι η διεπαφή διαχείρισης του Docker έχει ρυθμιστεί σωστά.
TrickBot
Το TrickBot είναι ένας τραπεζικός Trojan, που χρησιμοποιείται για επιθέσεις ransomware και κλοπή ταυτότητας, η οποία έκανε επίσης τη μετάβαση από τα Windows στο Linux. Το Anchor_DNS, ένα από τα εργαλεία που χρησιμοποίησε η ομάδα πίσω από το TrickBot, εμφανίστηκε σε παραλλαγή Linux τον Ιούλιο.
Το Anchor_Linux λειτουργεί ως backdoor και συνήθως εξαπλώνεται μέσω αρχείων zip. Το κακόβουλο πρόγραμμα δημιουργεί ένα κορό εργασία και επικοινωνία με έναν διακομιστή ελέγχου μέσω ερωτημάτων DNS.
Σχετιζομαι με: Πώς να εντοπίσετε ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος"
Μεγιστάνας
Το Tycoon Trojan διαδίδεται συνήθως ως ένα συμβιβασμένο περιβάλλον χρόνου εκτέλεσης Java μέσα σε ένα αρχείο zip. Οι ερευνητές το ανακάλυψαν τον Ιούνιο που χρησιμοποιούν τόσο τα συστήματα Windows όσο και Linux των μικρομεσαίων επιχειρήσεων καθώς και των εκπαιδευτικών ιδρυμάτων. Κρυπτογραφεί αρχεία και απαιτεί πληρωμές λύτρων.
Cloud Snooper
Αυτό το rootkit παραβιάζει το Netfilter για να κρύψει εντολές και κλοπή δεδομένων μεταξύ της κανονικής κυκλοφορίας ιστού για να παρακάμψει τα τείχη προστασίας.
Το σύστημα αναγνωρίστηκε για πρώτη φορά στο Amazon Web Services cloud τον Φεβρουάριο, το σύστημα μπορεί να χρησιμοποιηθεί για τον έλεγχο κακόβουλου λογισμικού σε οποιονδήποτε διακομιστή πίσω από οποιοδήποτε τείχος προστασίας.
PowerGhost
Επίσης τον Φεβρουάριο, ερευνητές της Trend Micro ανακάλυψαν ότι το PowerGhost είχε κάνει το άλμα από τα Windows στο Linux. Πρόκειται για έναν ανώνυμο ανθρακωρύχο κρυπτογράφησης που μπορεί να επιβραδύνει το σύστημά σας και να υποβαθμίσει το υλικό μέσω αυξημένης φθοράς.
Η έκδοση Linux μπορεί να απεγκαταστήσει ή να σκοτώσει προϊόντα anti-malware και να παραμείνει ενεργό χρησιμοποιώντας μια εργασία cron. Μπορεί να εγκαταστήσει άλλο κακόβουλο λογισμικό, να αποκτήσει πρόσβαση root και να εξαπλωθεί μέσω δικτύων χρησιμοποιώντας SSH.
FritzFrog
Δεδομένου ότι αυτό το botnet peer-to-peer (P2P) εντοπίστηκε για πρώτη φορά τον Ιανουάριο του 2020, έχουν βρεθεί 20 ακόμη εκδόσεις. Στα θύματα περιλαμβάνονται κυβερνήσεις, πανεπιστήμια, ιατρικά κέντρα και τράπεζες.
Το Fritzfrog είναι κακόβουλο λογισμικό, ένας τύπος απειλής που ζει στη μνήμη RAM και όχι στον σκληρό σας δίσκο και εκμεταλλεύεται τρωτά σημεία στο υπάρχον λογισμικό για να κάνει τη δουλειά του. Αντί για διακομιστές, χρησιμοποιεί το P2P για να στέλνει κρυπτογραφημένες επικοινωνίες SSH για να συντονίζει επιθέσεις σε διαφορετικά μηχανήματα, να ενημερώνεται και να διασφαλίζει την ομοιόμορφη εξάπλωση της εργασίας σε όλο το δίκτυο.
Παρόλο που είναι χωρίς όνομα, ο Fritzfrog δημιουργεί ένα backdoor χρησιμοποιώντας ένα δημόσιο κλειδί SSH για να επιτρέψει την πρόσβαση στο μέλλον. Στη συνέχεια αποθηκεύονται τα στοιχεία σύνδεσης για παραβιασμένα μηχανήματα στο δίκτυο.
Ισχυροί κωδικοί πρόσβασης και έλεγχος ταυτότητας δημόσιου κλειδιού προσφέρουν προστασία έναντι αυτής της επίθεσης. Αλλαγή της θύρας SSH ή απενεργοποίηση της πρόσβασης SSH εάν δεν τη χρησιμοποιείτε, είναι επίσης καλή ιδέα.
FinSpy
Το FinFisher πωλεί το FinSpy, που σχετίζεται με την κατασκοπεία δημοσιογράφων και ακτιβιστών, ως μια λύση επιτήρησης για τις κυβερνήσεις Το Amnesty International, στο παρελθόν που είδαμε σε Windows και Android, αποκάλυψε μια έκδοση Linux του κακόβουλου λογισμικού τον Νοέμβριο του 2019.
Το FinSpy επιτρέπει την αξιοποίηση της κίνησης, την πρόσβαση σε ιδιωτικά δεδομένα και την εγγραφή βίντεο και ήχου από μολυσμένες συσκευές.
Έγινε ευαισθητοποίηση του κοινού το 2011 όταν οι διαδηλωτές βρήκαν συμβόλαιο για την αγορά του FinSpy στα γραφεία της βάναυσης αιγυπτιακής υπηρεσίας ασφαλείας μετά την ανατροπή του Προέδρου Μουμπάρακ.
Είναι ώρα για τους χρήστες Linux να αρχίσουν να λαμβάνουν σοβαρά την ασφάλεια;
Ενώ οι χρήστες Linux μπορεί να μην είναι τόσο ευάλωτοι σε τόσες απειλές ασφαλείας όσο οι χρήστες των Windows, δεν υπάρχει αμφιβολία Η αξία και ο όγκος των δεδομένων που διαθέτουν τα συστήματα Linux καθιστά την πλατφόρμα πιο ελκυστική για τους εγκληματίες στον κυβερνοχώρο.
Εάν το FBI και η NSA ανησυχούν, τότε οι μοναδικοί έμποροι ή οι μικρές επιχειρήσεις που εκτελούν Linux θα πρέπει να αρχίσουν να πληρώνουν περισσότερα προσοχή στην ασφάλεια τώρα εάν θέλουν να αποφύγουν να γίνουν παράπλευρες ζημίες κατά τη διάρκεια μελλοντικών επιθέσεων σε μεγαλύτερες οργανώσεις.
Εδώ είναι μας συμβουλές για την προστασία σας από την αυξανόμενη λίστα κακόβουλου λογισμικού Linux:
- Μην εκτελείτε δυαδικά αρχεία ή σενάρια από άγνωστες πηγές.
- Εγκαταστήστε λογισμικό ασφαλείας όπως προγράμματα προστασίας από ιούς και ανιχνευτές rootkit.
- Να είστε προσεκτικοί κατά την εγκατάσταση προγραμμάτων χρησιμοποιώντας εντολές όπως το curl. Μην εκτελέσετε την εντολή έως ότου καταλάβετε πλήρως τι πρόκειται να κάνει, ξεκινήστε την έρευνα της γραμμής εντολών σας εδώ.
- Μάθετε πώς να ρυθμίζετε σωστά το τείχος προστασίας. Θα πρέπει να καταγράφει όλη τη δραστηριότητα του δικτύου, να αποκλείει τις αχρησιμοποίητες θύρες και γενικά να διατηρεί την έκθεσή σας στο δίκτυο στο ελάχιστο απαραίτητο.
- Ενημερώνετε τακτικά το σύστημά σας. ρυθμίστε τις ενημερώσεις ασφαλείας για αυτόματη εγκατάσταση.
- Βεβαιωθείτε ότι οι ενημερώσεις σας αποστέλλονται μέσω κρυπτογραφημένων συνδέσεων.
- Ενεργοποιήστε ένα σύστημα ελέγχου ταυτότητας βασισμένο σε κλειδιά για SSH και κωδικό πρόσβασης για την προστασία των κλειδιών.
- Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων (2FA) και κρατήστε κλειδιά σε εξωτερικές συσκευές, όπως το Yubikey.
- Ελέγξτε τα αρχεία καταγραφής για απόδειξη επιθέσεων.
Από την αρχή, το Linux είναι αρκετά ασφαλές, ειδικά σε σύγκριση με άλλα λειτουργικά συστήματα όπως macOS ή Windows. Ακόμα κι έτσι, είναι καλό να το αναπτύξουμε, ξεκινώντας με αυτά τα εργαλεία.
- Linux
- Linux
- Κακόβουλο λογισμικό
Ο Joe McCrossan είναι ανεξάρτητος συγγραφέας, εθελοντής τεχνικός αντιμετώπισης προβλημάτων και ερασιτέχνης επισκευαστής ποδηλάτων. Του αρέσει το Linux, ο ανοιχτός κώδικας και κάθε είδους καινοτόμος καινοτομία.
Εγγραφείτε στο Newsletter μας
Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!
Ένα ακόμη βήμα…!
Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.
