卡巴斯基全球研究分析团队 (GReAT) 研究发现,过去八年来,APT 组织针对 Linux 资源的攻击活动稳步增长,越来越多的 APT 组织正在创建工具甚至是平台来攻击运行 Linux 软件的设备。为此,该研究团队分享了相关攻击详情,并解释了关于 Linux 安全性的偏见以及组织机构应如何更好地保护 Linux 机器的安全。
很多人认为Linux操作系统是安全的,不易受恶意代码侵扰。这一偏见植根于网络犯罪分子对 Linux 桌面和服务器的恶意软件更少且兴趣更小。我们见过很多关于 Windows 系统的针对性攻击文章。Windows 平台也是卡巴斯基找到最多 APT 攻击工具的地方。虽然 Linux 尚未像 Windows 系统那样遭到病毒、蠕虫和木马的大规模攻击,但研究人员强调称它依然是具有吸引力的目标。虽然网络攻击者编写了针对 Linux 的 PHP 后门、rootkit 和 exploit 代码,但很多企业并不担心。这种情况是危险的。它导致信息安全部门和软件厂商的安全团队对这个问题的重视程度减少,使得组织机构对 Linux 桌面、服务器和 IoT 的可见性更低且防御工具更少。卡巴斯基 GReAT 团队的研究员 Yury Namestnikov 指出,“虽然并非所有的组织机构皆如此,但遗憾的是在很多时候都是这种情况。当我们开始谈论能够轻易见到的目标攻击时,几乎所有严肃的威胁行动者都具有一些出其不意的工具,用于入侵并控制运行 Linux 的机器。”APT 组织为何选择 Linux 而非 Windows 的理由很多,其中一个关键因素是容器化趋势,它也是Linux得到应用的驱动力。机器通常能够从互联网访问且可以作为攻击者的初始切入点。虚拟化和容器化的趋势意味着几乎所有的企业都在一些日常任务中使用 Linux。比起 Windows 系统,很多组织机构更多使用的是 Linux 和 macOS 设备,这使得攻击者别无选择。IT公司、电信运营商和政府部门皆如此。在一些地区,很多桌面环境都有使用 Linux 系统的趋势,尤其是在政府和国防部门如土耳其等。卡巴斯基的遥测数据表明,服务器是这些攻击的最常见目标,其次是企业IT和网络设备,之后是工作站。在一些情况下,攻击者使用受陷路由器、运行 Linux 作为位于同样网络中对 Windows 植入的命令和控制服务器。报告指出,服务器应当是需要注意的主要目标。基于 Linux 的服务器具有战略意义,因此也成为攻击热门。如果攻击者能够攻陷一台 Linux 服务器,那么就能访问服务器数据并攻击运行可能与之连接的 Windows 或 macOS 的端点。
Namestnikov 指出,攻击者已经修改了 Linux 恶意软件以及针对 Linux 设备的攻击。当他们最开始编写恶意软件时,他们的目的是操纵网络流量。例如,威胁行动者 Cloud Snooper就曾使用面向服务器的 Linux 内核 rootkit hookNetfilter 流量控制功能和命令和控制通信来绕过目标防火墙。研究人员指出,Barium/APT41 组织的某些目标也如此。该组织从2013年开始攻击游戏企业获取经济利益;之后开发新工具并攻击更为复杂的目标。它使用Linux 恶意软件 MessageTap 来拦截源自电信提供商基础设施中的SMS 消息。针对 Linux 的APT 组织经常使用可从基于 Linux 服务器和桌面的合法工具,例如,能够编译代码或运行 Python 脚本的工具,以此减少在日志中的记录。最令人担忧的是,他们能够在 Linux 设备上隐藏,并随时折返。Namestnikov 解释称,攻击者可以感染 IoT 或网络盒子,或者替代受限服务器上的合法文件。由于这些服务器并不经常更新而且在很多情况下并未安装反病毒软件,因此发现这些替代件的时候为时已晚。虽然比起 Windows 而言,Linux 受攻击的频率更低,但研究人员建议企业采取步骤防御攻击。首先应当列出可信的软件来源且仅从官方商店中安装应用程序。Linux 可能会提供更多自由,但组织机构应当明智地下载软件。此外,他们还建议检查网络设置并避免不必要的网络应用程序。同时建议组合以机构正确地配置防火墙,过滤流量并存储主机的网络活动。其它建议包括保护用于网络服务的本地存储 SSH密钥的安全,并为 SSH 会话设立多因素认证机制。https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/。
https://www.darkreading.com/attacks-breaches/-apt-groups-set-sights-on-linux-targets-inside-the-trend/d/d-id/1338898
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~