Linux 系统是一个令人垂涎的目标。它是众多应用程序后端和服务器的主机操作系统,并支持各种物联网 (IoT) 设备。然而,对基于该系统运行的设备而言,其保护工作仍做得不够。
“Linux 系统恶意软件一直被严重忽视,”VMware 公司安全威胁情报业务高级主管乔瓦尼•维格纳 (Giovanni Vigna) 说。“由于大多数云主机运行 Linux 系统,因此,破坏基于 Linux 系统的平台,可使攻击者访问大量资源或通过勒索软件和 wiper 恶意软件造成重大破坏。”
近年来,网络犯罪分子和民族国家的攻击者已将目标对准了基于 Linux 的系统。根据 VMware 公司最近的一份报告,其入侵的目标通常是企业和政府网络,或获取进入关键基础设施的访问权限。他们充分利用了薄弱的身份验证、未修补的漏洞和服务器的错误配置等因素。
Linux 系统恶意软件不仅变得越来越普遍,而且越来越多样化。Intezer 安全公司研究了各种恶意软件的代码独特性,以了解开发者的创新程度。该公司发现,与 2020 年相比,2021 年大多数类别的恶意软件的创新程度都有所增加,包括勒索软件、银行木马程序和僵尸网络。据一份报告称:“针对 Linux 系统的恶意软件创新程度的提升可能与各组织机构越来越多地转向使用云环境有关,而这些环境常常依赖 Linux 系统运行。”“Linux 系统恶意软件的创新程度接近基于 Windows 系统恶意软件的水平。”
随着 Linux 系统恶意软件的不断发展,各组织机构需要关注最常见的攻击,并要始终对每一环节加强安全性。 “尽管 Linux 系统可能比其他操作系统更安全,但需要注意的是,一个操作系统的安全性取决于其最薄弱的环节,”Cofense 公司首席安全威胁顾问罗尼•托卡佐夫斯基 (Ronnie Tokazowski) 说。
以下是针对 Linux 系统的六类攻击,需要注意:
1、勒索软件是以虚拟机映像为目标
近年来,勒索软件团伙开始窥探 Linux 系统环境。恶意软件样本的质量存在很大差异,但 Conti、DarkSide、REvil 和 Hive 等团伙正在迅速提升自己的技能。
通常,针对云环境的勒索软件攻击是经过精心策划的。VMware 公司表示,网络犯罪分子在开始加密文件之前,会尝试使受害者的系统完全瘫痪。
最近,RansomExx/Defray777 和 Conti 等团伙开始以虚拟环境中用于处理工作负载的 Linux 系统主机映像为目标。“这一令人担忧的新发展趋势表明,攻击者如何在云环境中寻找最有价值的资产,以造成最大的破坏。”VMware 公司在报告中写道。
对托管在 ESXi Hypervisor 上的虚拟机映像进行加密,这对这些团伙而言尤其具有吸引力,因为他们知道自己会对系统运行产生巨大影响。Trellix 安全公司的一份报告称,“勒索软件领域的一个常见主题就是开发专门用于加密虚拟机及其管理环境的新二进制程序”。
2、加密劫持正呈上升趋势
加密劫持是最常见的一类 Linux 系统恶意软件,因为它可以快速赚钱。托卡佐夫斯基说:“该软件的目的是利用计算资源为攻击者生成加密货币。”通常是门罗币。
第一次被人们所关注的攻击事件发生在 2018 年,当时特斯拉公司的公有云成为受害者。据 RedLock 云监控公司称,“该黑客侵入了特斯拉公司的 Kubernetes 控制台,该控制台没有设置密码保护。”“在 Kubernetes 的一个单元中,访问权限凭证暴露在特斯拉公司的亚马逊网络服务 (AWS) 环境中,其中包含一个 Amazon S3(亚马逊简单存储服务)存储桶,而该存储桶中含有遥感监测等敏感数据。”
加密劫持已变得越来越普遍,其中 XMRig 和 Sysrv 已成为最知名的加密矿工软件。SonicWall 公司的一份报告显示,与 2020 年相比,2021 年的攻击次数增加了 19%。“对于政府和医疗领域的客户而言,这一增幅达到了三位数,即加密劫持次数分别增长了 709% 和 218%。”该报告称。这家安全公司的统计数据显示,每个客户网络平均受到 338 次加密劫持攻击。
托卡佐夫斯基表示,为了锁定受害者,许多团伙使用默认密码列表、利用 bash 漏洞,或故意锁定并利用那些安全性较低且配置错误的系统漏洞。“其中一些错误配置可能涉及到目录遍历攻击、远程文件包含攻击,或者利用默认安装的错误配置过程。”他说。
3、三类恶意软件(XorDDoS、Mirai 和 Mozi)是以物联网为目标
物联网是基于 Linux 系统运行的,几乎没有例外,这些设备的简单性使其很容易成为潜在的受害者。CrowdStrike 公司的报告称,与 2020 年相比,2021 年针对在 Linux 系统上运行的小工具的恶意软件数量增加了 35%。这三类恶意软件占总数的 22%:XorDDoS、Mirai 和 Mozi。这些恶意软件遵循相同的模式,即感染设备,将这些设备聚集到僵尸网络中,然后利用这些设备执行 DDoS 攻击。
Mirai 是一种 Linux 系统木马,其利用 Telnet 和安全外壳 (SSH) 暴力破解攻击来破坏设备,被视为许多 Linux 系统 DDoS 恶意软件的共同祖先。当其源代码在 2016 年公开后,便出现了多个不同版本。此外,恶意软件作者从Mirai木马中吸取了经验,并将其功能应用到自己的木马程序中。
CrowdStrike 公司注意到,与 2021 年第一季度相比,2022 年第一季度针对英特尔的 Linux 系统所编译的不同版本 Mirai 恶意软件数量增加了一倍以上,其中针对 32 位 x86 处理器的不同版本数量增加最多。该报告称:“Mirai 变体木马不断发展,以利用未修补的漏洞来扩大其攻击范围。”
另一个流行的 Linux 系统木马是 XorDDoS。微软公司发现,这一威胁在过去六个月中上升了 254%。XorDDoS 木马利用针对 ARM、x86 和 x64 Linux 系统架构所编译的自身变体来增加成功感染目标系统的可能性。与 Mirai 木马一样,XorDDoS 木马也使用蛮力攻击来获取其目标的访问权限,一旦进入后,它会扫描端口 2375 处于开放状态的 Docker 服务器,以获得对主机的远程根目录访问权限,而无需输入密码。
Mozi 恶意软件会以某种类似的方式来破坏其目标,同时为了防止其他恶意软件取代自己的位置,会阻塞 SSH 和 Telnet 端口。它会创建一个点对点的僵尸网络,并会使用分布式哈希表 (DHT) 系统将其与指挥和控制服务器之间的通信隐藏在合法的 DHT 流量背后。
根据 Fortinet 公司的《全球安全威胁状况报告》(Global Threat Landscape Report),最成功的僵尸网络活动随着时间的推移始终在持续进行。这家安全公司发现,恶意软件作者投入了大量精力来确保其感染状态能持续存在,这意味着重新启动设备也不会解除黑客对受感染系统的控制。
4、国家发起的攻击行为是以 Linux 系统环境为目标
监视民族国家团体的安全研究人员注意到,这些团体越来越多地以 Linux 系统环境为目标。Intezer 公司的安全研究员瑞安•罗宾逊 (Ryan Robinson) 说:“随着俄乌战争的爆发,已有很多 Linux 系统恶意软件被攻击者使用,包括 wiper。”据 Cyfirma 网络安全公司称,在战争开始之前的几天,俄罗斯 APT 组织 Sandworm 就攻击了英国和美国机构的 Linux 系统。
ESET 是密切关注这场冲突及其网络安全影响的公司之一。“一个月前,我们一直在研究 Industroyer2 恶意软件,其被用于攻击一家乌克兰能源供应商。”ESET 公司高级恶意软件研究员 Marc-étienne Léveillé 说。“这次攻击包括使用 SSH 来传播 Linux 和 Solaris 系统蠕虫,还可能涉及窃取凭据。这是一次非常有针对性的攻击,其目标显然是为了破坏数据库和文件系统的数据。”
根据 ESET 公司的报告,Linux 系统 wiper 恶意软件“可通过使用 shred 命令(如果可用的话)或只是使用 dd 命令(和 if=/dev/random)来破坏连接到该系统的磁盘的全部内容”。“如果连接了多个磁盘,则数据删除过程会并行进行,以加快速度。”ESET 公司将该恶意软件归咎于 Sandstorm APT 组织,该组织曾在 2016 年利用 Industroyer 恶意软件切断乌克兰的电力。
至于其他民族国家攻击者,微软和 Mandiant 公司注意到,由国家支持的多个团体一直在利用 Windows 和 Linux 系统上知名的 Log4j 漏洞来获取其目标网络的访问权限。
5、无文件攻击难以被侦测
美国电话电报公司 (AT&T) Alien Labs 实验室的安全研究人员发现,包括 TeamTNT 团体在内的多个攻击参与者已开始使用 Ezuri,这是一款用 Golang 语言编写的开源工具。攻击者使用 Ezuri 来加密恶意代码。在解密时,其工作负载直接在内存中执行,而不会在磁盘上留下任何痕迹,这使得这些攻击行为很难被杀毒软件检测到。
与此技术相关的主要团体 TeamTNT 是以未正确配置的 Docker 系统为目标,其目的是安装 DDoS 机器人和加密矿工。
6、Linux 系统恶意软件以 Windows 系统设备为目标
Linux 系统恶意软件还可以通过适用于 Linux 的 Windows 子系统 (WSL) 来利用 Windows 系统设备,WSL 是 Windows 系统的一个功能,允许 Linux 系统二进制文件在 Windows 操作系统上本地运行。WSL 必须手动安装或通过加入 Windows Insider 计划来安装,但如果攻击者拥有更高的访问权限,则可以安装该功能。
Qualys 云安全公司研究了利用 WSL 功能在 Windows 系统设备上进行攻击或拥有持续性的可行性。到目前为止,该公司分析了两种技术(即代理执行和安装实用程序),并得出结论认为,这两种技术都是高度可行的。据该公司的安全专家称,想要防范此类攻击的组织机构可以禁用虚拟化和禁止安装 WSL 功能。这还有助于持续检查正在运行的进程。
攻击者还将 Windows 系统工具的功能移植到 Linux 系统,旨在以更多的平台为目标。一个例子是 Vermilion Strike,它是基于 CobaltStrike(一款流行的 Windows 系统渗透测试工具)开发的,但也适用于 Windows 和 Linux 系统。Vermilion Strike 工具可为攻击者提供远程访问功能,包括文件处理和 shell 命令执行。该工具被用于攻击电信公司、政府机构和金融机构,攻击者的主要目的是进行间谍活动。
Intezer 公司的研究人员在其报告中称,“Vermilion Strike 工具不可能是CobaltStrike Beacon 最后一个针对 Linux 系统的工具”。
防范针对 Linux 系统环境的恶意软件
当系统管理员和开发人员与时间和最后期限争分夺秒时,安全性就成为最薄弱的环节。例如,开发人员可能会盲目地相信来自社区的代码;他们从 Stack Overflow 中复制/粘贴代码,在克隆一个 GitHub 库后快速运行软件,或者将 Docker Hub 中的应用程序直接部署到自己的生产环境中。
机会主义攻击者会利用这种“注意力经济”。他们会将加密矿工添加到 Docker 容器中,或创建与频繁使用的库名称几乎相同的开源包,以及利用部分开发人员偶尔出现的拼写错误。
“利用开放部署的 Docker 和 Kubernetes,这是非常有吸引力的:粗心的人会将他们部署的容器向外界开放,从而使这些系统很容易被别人利用,并用作后续攻击或从事其他货币化活动(例如门罗币挖矿)的桥头堡。”VMware 公司的维格纳说。
“我是开源软件和文化的热心传播者和倡导者,但真正让我感到不安的一件事是公共软件库中涉及的信任链的脆弱性。”Nucleus Security 公司漏洞研究工程师瑞安•克里贝拉尔 (Ryan Cribelar) 说。“当然,这不是 Linux 系统特有的问题,例如,潜藏在 PyPi 或 NPM 库中的恶意库无疑会导致 Linux 系统管理员和安全团队最难以入眠。”
对于 Linux 系统服务器而言,配置错误也是一个大问题,这可能发生在基础设施中的多个位置。“通常,防火墙或安全组被错误设置,可使访问权限扩至更大的互联网范围,从而使外部访问权限能够在 Linux 系统服务器上部署应用程序。”Intezer 公司的罗宾逊说。
应用程序常常被错误配置,从而使用户在没有身份验证或使用默认凭据的情况下进行访问。“根据错误配置的应用程序不同,攻击者将能够窃取信息或在 Linux 服务器上运行恶意代码。”罗宾逊补充道。“常见的例子包括错误配置的 Docker 守护进程,这可以让攻击者能够运行他们自己的容器,或错误配置的应用程序(例如 Apache Airflow 工具)导致泄露密码和客户信息。”罗宾逊补充说,默认配置通常不等同于安全配置。
CrowdStrike 公司恶意软件研究高级总监乔尔·斯珀洛克 (Joel Spurlock) 看到的另一个问题是打补丁。他认为,各组织机构“要么没有或不愿意让设备保持最新版本”。应该定期打补丁,而且像 EDR 和零信任这样的流行语也应该出现在你的字典里。
针对 Linux 系统环境的恶意软件在消费设备和服务器、虚拟环境和专用操作系统各领域中快速发展,因此,保护所有这些领域的一些必要安全措施需要重点关注和精心规划。