2020年はLinuxマルウェアの大流行の年ですか？

そのセキュリティに対する評判は、LinuxがMicrosoftWindowsシステムを定期的に悩ませている種類の脅威に対して脆弱でないと考えられることが多いことを意味します。認識されているセキュリティの多くは、Linuxシステムの数が比較的少ないことによるものですが、サイバー犯罪者は量より質を選択することに価値を見出し始めていますか？

Linuxの脅威の状況は変化しています

KasperskyやBlackberryなどの企業のセキュリティ研究者は、FBIやNSAなどの連邦機関とともに、マルウェアの作成者がLinuxへの注目を高めていることを警告しています。

OSは現在、企業秘密、知的財産、個人情報などの貴重なデータへのゲートウェイとして認識されています。Linuxサーバーは、Windows、macOS、およびAndroidデバイスでいっぱいのより広いネットワークに感染するためのステージングポイントとしても使用できます。

デスクトップまたはラップトップで実行されているOSでなくても、遅かれ早かれデータがLinuxに公開される可能性があります。クラウドストレージ、VPN、電子メールプロバイダー、および雇用主、健康保険会社、政府サービス、または大学は、ほぼ確実にネットワークの一部としてLinuxを実行しており、Linuxを利用したインターネットを所有しているか、所有する可能性があります。現在または将来のモノ（IoT）デバイス。

過去12か月間に、複数の脅威が発見されました。Linuxに移植されたWindowsマルウェアとして知られているものもあれば、ほぼ10年間サーバー上で検出されないままになっているものもあり、セキュリティチームがリスクを過小評価していることを示しています。

多くのシステム管理者は、自分の組織がターゲットになるほど重要ではないと考えるかもしれません。ただし、ネットワークが大した賞品ではない場合でも、サプライヤやクライアントはより魅力的であることが判明する可能性があり、たとえばフィッシング攻撃を介してシステムにアクセスすることは、彼らに侵入するための最初のステップになる可能性があります。したがって、システムをどのように保護するかを評価する価値があります。

2020年に発見されたLinuxマルウェア

これは、昨年特定された脅威のまとめです。

RansomEXXトロイの木馬

Kasperskyの研究者は、このトロイの木馬が実行可能ファイルとしてLinuxに移植されたことを11月に明らかにしました。被害者には、256ビットのAES暗号で暗号化されたファイルと、マルウェアの作成者に連絡してデータを回復するための指示が残されています。

Windowsバージョンは、2020年に、コニカミノルタ、テキサス運輸省、ブラジルの法廷システムなど、いくつかの重要な標的を攻撃しました。

RansomEXXは、暗号化されたファイル拡張子と身代金メモの電子メールアドレスの両方に含まれている組織の名前を使用して、各被害者に合わせて特別に調整されています。

Gitpaste-12

Gitpaste-12は、Linuxを実行しているx86サーバーとIoTデバイスに感染する新しいワームです。GitHubとPastebinを使用してコードをダウンロードし、12の攻撃方法からその名前が付けられています。

このワームは、AppArmor、SELinux、ファイアウォール、およびその他の防御を無効にしたり、暗号通貨マイナーをインストールしたりする可能性があります。

IPStorm

2019年5月からWindowsで知られている、Linuxを攻撃できるこのボットネットの新しいバージョンが9月に発見されました。Linuxのメモリ不足キラーを解除して実行を継続し、Linuxの動作を停止させる可能性のあるセキュリティプロセスを強制終了します。

Linuxエディションには、SSHを使用してターゲットを検索したり、Steamゲームサービスを悪用したり、ポルノWebサイトをクロールして広告のクリックを偽装したりするなどの追加機能が付属しています。

また、Android Debug Bridge（ADB）を介して接続されたAndroidデバイスに感染する傾向もあります。

Drovorub

FBIとNSAは、8月の警告でこのルートキットを強調しました。管理者やウイルス対策ソフトウェアを回避し、rootコマンドを実行し、ハッカーがファイルをアップロードおよびダウンロードできるようにします。2つの機関によると、Drovorubは、ロシア政府で働くハッカーのグループであるFancyBearの作品です。

感染を検出するのは困難ですが、少なくとも3.7カーネルにアップグレードし、信頼できないカーネルモジュールをブロックすることで、感染を回避できます。

ルシファー

Luciferの悪意のある暗号マイニングと分散型サービス拒否ボットは、6月にWindowsに、8月にLinuxに最初に登場しました。LuciferのLinuxの化身は、HTTPベースのDDoS攻撃だけでなく、TCP、UCP、およびICMPを介した攻撃も可能にします。

Penquin_x64

Turla Penquinファミリーのマルウェアのこの新しい株は、5月に研究者によって明らかにされました。これは、攻撃者がルートを取得せずにネットワークトラフィックを傍受し、コマンドを実行できるようにするバックドアです。

Kasperskyは、7月に米国とヨーロッパの数十のサーバーでエクスプロイトが実行されていることを発見しました。

ドキ

Dokiは、主にセットアップが不十分なDockerサーバーをターゲットにして暗号マイナーをインストールするバックドアツールです。

マルウェアは通常、事前に定義されたIPアドレスまたはURLに接続して指示を受け取りますが、Dokiの作成者は、Dogecoin暗号ブロックチェーンAPIを使用する動的システムをセットアップしました。これにより、マルウェアオペレーターは1回のDogecoinトランザクションで制御サーバーを変更できるため、コマンドインフラストラクチャを停止することが困難になります。

Dokiを回避するには、Docker管理インターフェースが適切に構成されていることを確認する必要があります。

TrickBot

TrickBotは、ランサムウェア攻撃や個人情報の盗難に使用されるバンキング型トロイの木馬であり、WindowsからLinuxへの移行も行っています。TrickBotの背後にいるグループが使用するツールの1つであるAnchor_DNSは、7月にLinuxのバリエーションで登場しました。

Anchor_Linuxはバックドアとして機能し、通常はzipファイルを介して拡散されます。マルウェアはcronタスクを設定し、DNSクエリを介して制御サーバーに接続します。

関連：フィッシングメールを見つける方法

タイクーン

タイクーントロイの木馬は通常、zipアーカイブ内の侵害されたJavaランタイム環境として拡散します。研究者は6月に、中小企業のWindowsシステムとLinuxシステムの両方、および教育機関で実行されていることを発見しました。ファイルを暗号化し、身代金の支払いを要求します。

クラウドスヌーパー

このルートキットは、Netfilterをハイジャックして、ファイアウォールをバイパスするために通常のWebトラフィックの中でコマンドとデータの盗難を隠します。

2月にAmazonWeb Servicesクラウドで最初に特定されたこのシステムは、ファイアウォールの背後にある任意のサーバー上のマルウェアを制御するために使用できます。

PowerGhost

また2月、トレンドマイクロの研究者は、PowerGhostがWindowsからLinuxに飛躍したことを発見しました。これはファイルレスの暗号通貨マイナーであり、システムの速度を低下させ、摩耗の増加によってハードウェアを劣化させる可能性があります。

Linuxバージョンは、マルウェア対策製品をアンインストールまたは強制終了でき、cronタスクを使用してアクティブな状態を維持します。他のマルウェアをインストールし、rootアクセスを取得し、SSHを使用してネットワークを介して拡散する可能性があります。

フリッツフロッグ

このピアツーピア（P2P）ボットネットが2020年1月に最初に特定されて以来、さらに20のバージョンが見つかりました。被害者には、政府、大学、医療センター、銀行が含まれます。

フリッツフロッグはファイルレスマルウェアであり、ハードドライブではなくRAMに存在し、既存のソフトウェアの脆弱性を悪用して機能する脅威の一種です。サーバーの代わりに、P2Pを使用して暗号化されたSSH通信を送信し、さまざまなマシン間で攻撃を調整し、それ自体を更新して、作業がネットワーク全体に均等に分散されるようにします。

ファイルレスですが、Fritzfrogは、将来のアクセスを許可するために、公開SSHキーを使用してバックドアを作成します。侵害されたマシンのログイン情報は、ネットワーク全体に保存されます。

強力なパスワードと公開鍵認証は、この攻撃に対する保護を提供します。SSHポートを変更するか、使用していない場合はSSHアクセスをオフにすることもお勧めします。

FinSpy

FinFisherは、政府向けの既製の監視ソリューションとして、ジャーナリストや活動家のスパイに関連するFinSpyを販売しています。以前にWindowsとAndroidで見られたアムネスティ・インターナショナルは、2019年11月にLinuxバージョンのマルウェアを発見しました。

FinSpyを使用すると、トラフィックの盗聴、個人データへのアクセス、および感染したデバイスからのビデオとオーディオの記録が可能になります。

ムバラク大��領の転覆後、抗議者たちが残忍なエジプトの治安機関の事務所でFinSpyの購入契約を見つけたとき、それは2011年に一般に知られるようになりました。

Linuxユーザーがセキュリティを真剣に受け止め始める時が来ましたか？

LinuxユーザーはWindowsユーザーほど多くのセキュリティ脅威に対して脆弱ではないかもしれませんが、Linuxシステムが保持するデータの価値と量が、プラットフォームをサイバー犯罪者にとってより魅力的なものにしていることは間違いありません。

FBIとNSAが心配している場合、Linuxを実行している唯一のトレーダーや中小企業は、将来の大規模な組織への攻撃時に巻き添え被害になることを避けたいのであれば、今すぐセキュリティにもっと注意を払う必要があります。

ここに私たちのしているのヒントLinuxにおけるマルウェアの成長のリストから自分を守るために：

• 不明なソースからのバイナリまたはスクリプトを実行しないでください。
• ウイルス対策プログラムやルートキット検出器などのセキュリティソフトウェアをインストールします。
• curlなどのコマンドを使用してプログラムをインストールする場合は注意してください。コマンドが何をするのかを完全に理解するまでコマンドを実行しないでください。ここからコマンドラインの調査を開始してください。
• ファイアウォールを適切に設定する方法を学びます。すべてのネットワークアクティビティをログに記録し、未使用のポートをブロックし、通常、ネットワークへの露出を必要最小限に抑える必要があります。
• システムを定期的に更新してください。自動的にインストールされるようにセキュリティ更新プログラムを設定します。
• 更新が暗号化された接続を介して送信されていることを確認してください。
• SSHとパスワードのキーベースの認証システムを有効にして、キーを保護します。
• 二要素認証（2FA）を使用し、Yubikeyなどの外部デバイスにキーを保持します。
• ログで攻撃の証拠を確認してください。