APT組織對Linux設(shè)備的興趣大增,成為下一個目標(biāo)
2020年09月15日
研究人員發(fā)現(xiàn)��,更多高級攻擊組織正在創(chuàng)建工具和平臺來針對基于Linux的設(shè)備�。因此,本文希望分析有關(guān)Linux安全性的誤解���,以及討論組織如何更好地保護其Linux計算機�����。
在過去的8年里�,卡巴斯基全球研究與分析團隊觀察到���,越來越多的APT組織開始針對運行Linux軟件的設(shè)備�����。
事實上�����,人們普遍認為Linux操作系統(tǒng)默認是安全的���,并且不易受到惡意代碼的攻擊���。這種誤解主要是因為在過去網(wǎng)絡(luò)犯罪分子創(chuàng)建針對對Linux臺式機和服務(wù)器的惡意軟件更少,并且相關(guān)攻擊也更少��,與之相反的是針對Windows攻擊的報道很多����。不過,研究人員認為�,盡管Linux尚未遇到Windows系統(tǒng)所遭遇的大量病毒、蠕蟲和特洛伊木馬�,但它仍然是一個有吸引力的目標(biāo)。
APT組織之所以將目標(biāo)瞄準(zhǔn)Linux��,關(guān)鍵因素是容器化趨勢推動了Linux的廣泛采用����。向虛擬化和容器化的轉(zhuǎn)變使得大多數(shù)企業(yè)在某些日常任務(wù)中都使用Linux,而這些設(shè)備通?���?梢詮腎nternet訪問,并且可以用作攻擊者的初始入口點���。
此外���,一些IT、電信公司和政府使用的Linux和macOS設(shè)備比Windows系統(tǒng)更多��,這讓攻擊者別無選擇�����。
卡巴斯基的遙測表明��,服務(wù)器是攻擊的最常見目標(biāo)���,其次是企業(yè)IT和網(wǎng)絡(luò)設(shè)備���,然后是工作站。在某些情況下��,攻擊者還會利用被入侵的Linux路由器對同一網(wǎng)絡(luò)中的Windows發(fā)起攻擊�����。最終造成攻擊者既可以訪問Linux服務(wù)器上的數(shù)據(jù),又可以訪問運行Windows或可能已連接的macOS的端點�����。
不斷演變的威脅
攻擊者對Linux惡意軟件進行更改�����,從而針對Linux設(shè)備發(fā)起攻擊���。剛開始編寫惡意軟件時��,攻擊者的目標(biāo)是操縱網(wǎng)絡(luò)流量��。比如Cloud Snooper黑客組織就使用了一個面向服務(wù)器的Linux內(nèi)核rootkit��,旨在操縱Netfilter流量控制功能以及跨越目標(biāo)防火墻的命令和控制通信����。
而Barium(APT41)也有同樣的目標(biāo)�。該組織從2013年開始瞄準(zhǔn)游戲公司以獲取經(jīng)濟利益,隨著時間的推移,它開發(fā)了新的工具并追求更復(fù)雜的目標(biāo)����,使用名為MessageTap的Linux惡意軟件,攔截來自電信提供商基礎(chǔ)設(shè)施的短信����。
此外��,針對Linux的APT攻擊者經(jīng)常使用基于Linux服務(wù)器和臺式機上可用的合法工具(例如����,編譯代碼或運行Python腳本的能力),導(dǎo)致在日志中留下的攻擊痕跡更少�����,進一步保證了權(quán)限維持的可能�����。具體操作上�,一般是感染IoT、網(wǎng)絡(luò)盒����,或者替換受感染服務(wù)器上的合法文件��。因為這些設(shè)備/內(nèi)容不經(jīng)常更新�����,并且在許多情況下沒有安裝防病毒軟件����。
許多企業(yè)對網(wǎng)絡(luò)攻擊者擁有PHP后門��、rootkit和為Linux編寫的利用代碼并不十分擔(dān)心�,這是非常危險的訊號。雖然Linux沒有像Windows那么頻繁地成為攻擊目標(biāo)���,但研究人員建議企業(yè)采取措施保護環(huán)境免受此類攻擊��。
為軟件保留一份可信來源的列表�。
只安裝來自官方商店的應(yīng)用程序�����。
檢查網(wǎng)絡(luò)設(shè)置并避免不必要的網(wǎng)絡(luò)應(yīng)用程序�。
從Linux發(fā)行版中正確配置其防火墻,以過濾流量并存儲主機的網(wǎng)絡(luò)活動。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
