هل عام 2020 هو عام جائحة البرامج الضارة لنظام Linux؟

سمعتها في مجال الأمان تعني أن Linux غالبًا ما يكون أقل عرضة لأنواع التهديدات التي تصيب أنظمة Microsoft Windows بانتظام. يأتي الكثير من هذا الأمان المتصور من العدد المنخفض نسبيًا لأنظمة Linux ، ولكن هل بدأ مجرمو الإنترنت يرون قيمة في اختيار الجودة على الكمية ؟

مشهد تهديد Linux يتغير

يحذر باحثو الأمن في شركات مثل Kaspersky و Blackberry ، جنبًا إلى جنب مع الوكالات الفيدرالية مثل FBI و NSA ، من زيادة تركيز مؤلفي البرامج الضارة على Linux.

يتم التعرف على نظام التشغيل الآن كبوابة للبيانات القيمة مثل الأسرار التجارية والملكية الفكرية ومعلومات الموظفين. يمكن أيضًا استخدام خوادم Linux كنقطة انطلاق لإصابة الشبكات الأوسع المليئة بأنظمة Windows و macOS و Android.

حتى لو لم يكن نظام التشغيل يعمل على سطح المكتب أو الكمبيوتر المحمول ، فمن المحتمل أن تتعرض بياناتك لنظام Linux عاجلاً أم آجلاً. من شبه المؤكد أن التخزين السحابي وشبكة VPN وموفري البريد الإلكتروني ، بالإضافة إلى صاحب العمل أو شركة التأمين الصحي أو الخدمات الحكومية أو الجامعة الخاصة بك ، يقومون بتشغيل Linux كجزء من شبكاتهم ، ومن المحتمل أنك تمتلك أو ستمتلك Internet Of Linux. جهاز الأشياء (IoT) الآن أو في المستقبل.

تم الكشف عن تهديدات متعددة خلال الأشهر الـ 12 الماضية. يُعرف بعضها ببرامج ضارة لنظام التشغيل Windows تم نقلها إلى Linux ، بينما ظل البعض الآخر يجلس دون أن يتم اكتشافه على الخوادم منذ ما يقرب من عقد من الزمان ، مما يوضح مدى تقدير فرق الأمان للمخاطر.

قد يفترض العديد من مسؤولي الأنظمة أن مؤسستهم ليست مهمة بما يكفي لتكون هدفًا. ومع ذلك ، حتى لو لم تكن شبكتك جائزة كبيرة ، فقد يكون مورديك أو عملائك أكثر إغراءًا ، وقد يكون الوصول إلى نظامك ، عبر هجوم تصيد ، على سبيل المثال ، خطوة أولى لاختراق شبكتهم. لذلك من الجدير تقييم كيفية حماية نظامك .

تم اكتشاف برامج Linux الضارة في عام 2020

فيما يلي تقريرنا الموجز عن التهديدات التي تم تحديدها خلال العام الماضي.

RansomEXX طروادة

كشف باحثو كاسبرسكي في نوفمبر أن حصان طروادة هذا قد تم نقله إلى لينكس كملف تنفيذي. يتم ترك الضحية مع ملفات مشفرة باستخدام تشفير AES 256 بت وإرشادات حول الاتصال بمؤلفي البرامج الضارة لاستعادة بياناتهم.

هاجمت نسخة Windows بعض الأهداف المهمة في عام 2020 ، بما في ذلك Konica Minolta ، ووزارة النقل في تكساس ، ونظام المحاكم البرازيلي.

تم تصميم RansomEXX خصيصًا لكل ضحية ، مع تضمين اسم المنظمة في كل من امتداد الملف المشفر وعنوان البريد الإلكتروني في مذكرة الفدية.

معجون الجيت -12

Gitpaste-12 هو دودة جديدة تصيب خوادم x86 وأجهزة إنترنت الأشياء التي تعمل بنظام Linux. حصلت على اسمها من استخدامها لـ GitHub و Pastebin لتنزيل التعليمات البرمجية ، ولإثني عشر طريقة هجوم.

يمكن للدودة تعطيل AppArmor و SELinux وجدران الحماية والدفاعات الأخرى بالإضافة إلى تثبيت عامل منجم للعملات المشفرة.

IPStorm

تم اكتشاف نسخة جديدة معروفة على نظام التشغيل Windows منذ مايو 2019 ، من هذه الروبوتات القادرة على مهاجمة نظام Linux في سبتمبر. إنه ينزع سلاح قاتل نفاد الذاكرة في Linux للحفاظ على تشغيل نفسه ويقتل عمليات الأمان التي قد تمنعه ​​من العمل.

يأتي إصدار Linux مزودًا بقدرات إضافية مثل استخدام SSH للعثور على الأهداف ، واستغلال خدمات ألعاب Steam ، والزحف إلى مواقع الويب الإباحية لخداع النقرات على الإعلانات.

كما أن لديها طعم إصابة أجهزة Android المتصلة عبر Android Debug Bridge (ADB).

دروفروب

سلط مكتب التحقيقات الفدرالي ووكالة الأمن القومي الضوء على مجموعة rootkit هذه في تحذير في أغسطس. يمكنه التهرب من المسؤولين وبرامج مكافحة الفيروسات ، وتشغيل أوامر الجذر ، والسماح للمتسللين بتحميل الملفات وتنزيلها. وفقًا للوكالتين ، فإن Drovorub هو عمل Fancy Bear ، وهي مجموعة من المتسللين الذين يعملون لصالح الحكومة الروسية.

يصعب اكتشاف العدوى ، ولكن الترقية إلى 3.7 kernel على الأقل وحظر وحدات kernel غير الموثوقة يجب أن يساعدا في تجنبها.

إبليس

ظهر تعدين لوسيفر الخبيث للعملات المشفرة ورفض الخدمة الموزعة لأول مرة على Windows في يونيو وعلى لينكس في أغسطس. يسمح تجسيد Lucifer's Linux لهجمات DDoS المستندة إلى HTTP وكذلك عبر TCP و UCP و ICMP.

Penquin_x64

تم الكشف عن هذه السلالة الجديدة من عائلة Turla Penquin من البرامج الضارة من قبل الباحثين في مايو. إنه باب خلفي يسمح للمهاجمين باعتراض حركة مرور الشبكة وتشغيل الأوامر دون الحصول على الجذر.

وجدت Kaspersky أن الثغرة تعمل على عشرات الخوادم في الولايات المتحدة وأوروبا في يوليو.

دوكي

Doki هي أداة خلفية تستهدف بشكل أساسي خوادم Docker سيئة الإعداد لتثبيت أدوات التعدين المشفرة.

في حين أن البرامج الضارة عادة ما تتصل بعناوين IP أو عناوين URL محددة مسبقًا لتلقي التعليمات ، فقد أنشأ منشئو Doki نظامًا ديناميكيًا يستخدم واجهة برمجة تطبيقات blockchain Dogecoin المشفرة. هذا يجعل من الصعب إزالة البنية التحتية للأوامر حيث يمكن لمشغلي البرامج الضارة تغيير خادم التحكم بمعاملة Dogecoin واحدة فقط.

لتجنب Doki ، يجب عليك التأكد من تكوين واجهة إدارة Docker بشكل صحيح.

تريكبوت

TrickBot هو حصان طروادة مصرفي يستخدم لهجمات برامج الفدية وسرقة الهوية ، وهو ما أدى أيضًا إلى الانتقال من Windows إلى Linux. Anchor_DNS ، إحدى الأدوات التي استخدمتها المجموعة وراء TrickBot ، ظهرت في أحد إصدارات Linux في يوليو.

يعمل Anchor_Linux كباب خلفي وينتشر عادة عبر ملفات مضغوطة. تقوم البرامج الضارة بإعداد مهمة cron وتتصل بخادم التحكم عبر استعلامات DNS.

ذات صلة: كيفية اكتشاف رسالة بريد إلكتروني مخادعة

تاجر

عادةً ما ينتشر Tycoon Trojan كبيئة تشغيل Java Runtime تم اختراقها داخل أرشيف مضغوط. اكتشف الباحثون أنه في يونيو يعمل على أنظمة Windows و Linux للشركات الصغيرة والمتوسطة الحجم وكذلك المؤسسات التعليمية. يقوم بتشفير الملفات ويطالب بفدية.

سحابة سنوبر

يقوم برنامج rootkit هذا باختطاف Netfilter لإخفاء الأوامر وسرقة البيانات بين حركة مرور الويب العادية لتجاوز جدران الحماية.

تم تحديده لأول مرة على سحابة Amazon Web Services في فبراير ، ويمكن استخدام النظام للتحكم في البرامج الضارة على أي خادم خلف أي جدار حماية.

بوويرجوست

في فبراير أيضًا ، اكتشف الباحثون في Trend Micro أن PowerGhost قد حققت قفزة من Windows إلى Linux. هذا هو عامل منجم للعملات المشفرة بدون ملفات يمكنه إبطاء نظامك وتدهور الأجهزة من خلال زيادة البلى.

يمكن لإصدار Linux إلغاء تثبيت منتجات مكافحة البرامج الضارة أو القضاء عليها ويظل نشطًا باستخدام مهمة cron. يمكنه تثبيت برامج ضارة أخرى ، والحصول على الوصول إلى الجذر ، والانتشار عبر الشبكات باستخدام SSH.

فريتزفروج

منذ أن تم تحديد شبكة الروبوتات من نظير إلى نظير (P2P) لأول مرة في يناير 2020 ، تم العثور على 20 إصدارًا آخر. الضحايا تشمل الحكومات والجامعات والمراكز الطبية والبنوك.

Fritzfrog عبارة عن برنامج ضار لا يحتوي على ملفات ، وهو نوع من التهديد الذي يعيش في ذاكرة الوصول العشوائي بدلاً من محرك الأقراص الثابتة لديك ويستغل نقاط الضعف في البرامج الحالية للقيام بعمله. بدلاً من الخوادم ، تستخدم P2P لإرسال اتصالات SSH المشفرة لتنسيق الهجمات عبر الأجهزة المختلفة ، وتحديث نفسها ، وضمان توزيع العمل بالتساوي في جميع أنحاء الشبكة.

على الرغم من أنه ليس ملفًا ، إلا أن Fritzfrog يقوم بإنشاء باب خلفي باستخدام مفتاح SSH عام للسماح بالوصول في المستقبل. ثم يتم حفظ معلومات تسجيل الدخول للأجهزة المخترقة عبر الشبكة.

توفر كلمات المرور القوية ومصادقة المفتاح العام الحماية من هذا الهجوم. يعد تغيير منفذ SSH أو إيقاف تشغيل الوصول إلى SSH إذا كنت لا تستخدمه فكرة جيدة أيضًا.

FinSpy

تبيع FinFisher برنامج FinSpy المرتبط بالتجسس على الصحفيين والنشطاء كحل مراقبة جاهز للحكومات. كشفت منظمة العفو الدولية ، التي شوهدت سابقًا على نظامي التشغيل Windows و Android ، عن إصدار Linux من البرنامج الضار في نوفمبر 2019.

يسمح FinSpy بالتنصت على حركة المرور والوصول إلى البيانات الخاصة وتسجيل الفيديو والصوت من الأجهزة المصابة.

وصل الأمر إلى الوعي العام في عام 2011 عندما وجد المتظاهرون عقدًا لشراء FinSpy في مكاتب جهاز الأمن المصري الوحشي بعد الإطاحة بالرئيس مبارك.

هل حان الوقت لمستخدمي Linux لبدء التعامل مع الأمن بجدية؟

بينما قد لا يكون مستخدمو Linux عرضة للعديد من التهديدات الأمنية مثل مستخدمي Windows ، فلا شك أن قيمة وحجم البيانات التي تحتفظ بها أنظمة Linux تجعل النظام الأساسي أكثر جاذبية لمجرمي الإنترنت.

إذا كان مكتب التحقيقات الفيدرالي ووكالة الأمن القومي قلقين ، فيجب على التجار الفرديين أو الشركات الصغيرة التي تعمل بنظام لينوكس أن يبدأوا في إيلاء المزيد من الاهتمام للأمان الآن إذا كانوا يريدون تجنب أن يصبحوا أضرارًا جانبية أثناء الهجمات المستقبلية على المؤسسات الكبيرة.

فيما يلي نصائحنا لحماية نفسك من القائمة المتزايدة لبرامج Linux الضارة:

• لا تقم بتشغيل ثنائيات أو نصوص من مصادر غير معروفة.
• قم بتثبيت برامج الأمان مثل برامج مكافحة الفيروسات وأجهزة الكشف عن الجذور الخفية.
• كن حذرًا عند تثبيت البرامج باستخدام أوامر مثل curl. لا تقم بتشغيل الأمر حتى تفهم تمامًا ما الذي سيفعله ، ابدأ بحث سطر الأوامر هنا .
• تعرف على كيفية إعداد جدار الحماية الخاص بك بشكل صحيح. يجب أن تسجل جميع أنشطة الشبكة ، وتحظر المنافذ غير المستخدمة ، وتحافظ بشكل عام على تعرضك للشبكة إلى الحد الأدنى الضروري.
• قم بتحديث نظامك بانتظام ؛ تعيين تحديثات الأمان ليتم تثبيتها تلقائيًا.
• تأكد من إرسال تحديثاتك عبر اتصالات مشفرة.
• قم بتمكين نظام مصادقة قائم على المفتاح لـ SSH وكلمة المرور لحماية المفاتيح.
• استخدم المصادقة الثنائية (2FA) واحتفظ بالمفاتيح على الأجهزة الخارجية مثل Yubikey.
• تحقق من السجلات بحثًا عن أدلة على الهجمات.