ปี 2020 เป็นปีแห่งการระบาดของมัลแวร์ Linux หรือไม่?

ชื่อเสียงด้านความปลอดภัยหมายความว่า Linux มักมีความเสี่ยงต่อการคุกคามน้อยกว่าระบบ Microsoft Windows การรับรู้ความปลอดภัยส่วนใหญ่นั้นมาจากระบบ Linux ที่ค่อนข้างต่ำ แต่อาชญากรไซเบอร์เริ่มเห็นคุณค่าในการเลือกคุณภาพมากกว่าปริมาณหรือไม่

แนวการคุกคามของ Linux กำลังเปลี่ยนไป

นักวิจัยด้านความปลอดภัยในบริษัทต่างๆ เช่น Kaspersky และ Blackberry พร้อมด้วยหน่วยงานของรัฐบาลกลาง เช่นFBI และ NSAเตือนเกี่ยวกับผู้เขียนมัลแวร์ที่ให้ความสำคัญกับ Linux

ปัจจุบัน OS ได้รับการยอมรับว่าเป็นประตูสู่ข้อมูลที่มีค่า เช่น ความลับทางการค้า ทรัพย์สินทางปัญญา และข้อมูลบุคลากร เซิร์ฟเวอร์ Linux ยังสามารถใช้เป็น staging point สำหรับการติดไวรัสในเครือข่ายที่กว้างขึ้นซึ่งเต็มไปด้วยอุปกรณ์ Windows, macOS และ Android

แม้ว่าจะไม่ใช่ระบบปฏิบัติการที่ทำงานอยู่บนเดสก์ท็อปหรือแล็ปท็อปของคุณ ข้อมูลของคุณก็มีแนวโน้มที่จะถูกเปิดเผยต่อ Linux ไม่ช้าก็เร็ว ที่เก็บข้อมูลบนคลาวด์ VPN และผู้ให้บริการอีเมลของคุณ รวมถึงนายจ้าง บริษัทประกันสุขภาพ หน่วยงานราชการ หรือมหาวิทยาลัย แทบจะแน่นอนว่าใช้งาน Linux โดยเป็นส่วนหนึ่งของเครือข่ายของพวกเขา และโอกาสที่คุณเป็นเจ้าของหรือจะเป็นเจ้าของอินเทอร์เน็ตที่ขับเคลื่อนโดย Linux อุปกรณ์ของสิ่งต่าง ๆ (IoT) ในปัจจุบันหรือในอนาคต

มีการเปิดเผยภัยคุกคามหลายอย่างในช่วง 12 เดือนที่ผ่านมา มัลแวร์บางตัวเป็นที่รู้จักของ Windows ที่ย้ายไปยัง Linux ในขณะที่บางตัวตรวจพบโดยไม่มีใครตรวจพบบนเซิร์ฟเวอร์มาเกือบทศวรรษแล้ว ซึ่งแสดงให้เห็นว่าทีมรักษาความปลอดภัยประเมินความเสี่ยงต่ำเกินไปเพียงใด

ผู้ดูแลระบบหลายคนอาจถือว่าองค์กรของตนไม่สำคัญพอที่จะเป็นเป้าหมาย อย่างไรก็ตาม แม้ว่าเครือข่ายของคุณจะไม่ใช่รางวัลใหญ่ ซัพพลายเออร์หรือลูกค้าของคุณอาจได้รับการพิสูจน์ว่าน่าดึงดูดมากกว่า และการเข้าถึงระบบของคุณ เช่น ผ่านการโจมตีแบบฟิชชิ่ง อาจเป็นก้าวแรกในการแทรกซึมระบบของพวกเขา ดังนั้นจึงคุ้มค่าที่จะประเมินว่าคุณปกป้องระบบของคุณอย่างไร

มัลแวร์ Linux ถูกค้นพบในปี 2020

นี่คือของเรารอบขึ้นของภัยคุกคามที่ได้รับการระบุปีที่ผ่านมา

RansomEXX โทรจัน

นักวิจัยของ Kaspersky เปิดเผยในเดือนพฤศจิกายนว่าโทรจันนี้ถูกย้ายไปยัง Linux เป็นไฟล์ปฏิบัติการ เหยื่อถูกทิ้งให้อยู่กับไฟล์ที่เข้ารหัสด้วยรหัส AES 256 บิต และคำแนะนำในการติดต่อผู้สร้างมัลแวร์เพื่อกู้คืนข้อมูล

เวอร์ชัน Windows โจมตีเป้าหมายที่สำคัญบางอย่างในปี 2020 รวมถึง Konica Minolta, Texas Department of Transport และระบบศาลของบราซิล

RansomEXX ได้รับการปรับแต่งเป็นพิเศษสำหรับเหยื่อแต่ละราย โดยมีชื่อขององค์กรอยู่ในทั้งนามสกุลไฟล์ที่เข้ารหัสและที่อยู่อีเมลในบันทึกค่าไถ่

Gitpaste-12

Gitpaste-12 เป็นเวิร์มตัวใหม่ที่แพร่ระบาดในเซิร์ฟเวอร์ x86 และอุปกรณ์ IoT ที่ทำงานบน Linux ได้ชื่อมาจากการใช้ GitHub และ Pastebin เพื่อดาวน์โหลดโค้ด และวิธีการโจมตี 12 วิธี

เวิร์มสามารถปิดใช้งาน AppArmor, SELinux, ไฟร์วอลล์ และการป้องกันอื่นๆ รวมทั้งติดตั้งตัวขุด cryptocurrency

IPStorm

รู้จักกันใน Windows ตั้งแต่เดือนพฤษภาคม 2019 เวอร์ชันใหม่ของบ็อตเน็ตที่สามารถโจมตี Linux ถูกค้นพบในเดือนกันยายน มันปลดอาวุธนักฆ่าที่ไม่มีหน่วยความจำของ Linux เพื่อให้ตัวเองทำงานต่อไปและฆ่ากระบวนการรักษาความปลอดภัยที่อาจหยุดทำงาน

รุ่น Linux มาพร้อมกับความสามารถพิเศษ เช่น การใช้ SSH เพื่อค้นหาเป้าหมาย ใช้ประโยชน์จากบริการเกม Steam และรวบรวมข้อมูลเว็บไซต์ลามกอนาจารเพื่อหลอกลวงการคลิกบนโฆษณา

นอกจากนี้ยังมีรสนิยมในการติดอุปกรณ์ Android ที่เชื่อมต่อผ่าน Android Debug Bridge (ADB)

Drovorub

FBI และ NSA เน้นย้ำรูทคิทนี้ในคำเตือนเมื่อเดือนสิงหาคม มันสามารถหลบเลี่ยงผู้ดูแลระบบและซอฟต์แวร์ป้องกันไวรัส เรียกใช้คำสั่งรูท และอนุญาตให้แฮกเกอร์อัปโหลดและดาวน์โหลดไฟล์ ตามที่ทั้งสองหน่วยงานกล่าวว่า Drvorub เป็นผลงานของ Fancy Bear กลุ่มแฮกเกอร์ที่ทำงานให้กับรัฐบาลรัสเซีย

การติดไวรัสนั้นตรวจพบได้ยาก แต่การอัพเกรดเป็นอย่างน้อย 3.7 เคอร์เนลและการบล็อกโมดูลเคอร์เนลที่ไม่น่าเชื่อถือควรช่วยหลีกเลี่ยง

ลูซิเฟอร์

การขุด crypto ที่เป็นอันตรายของ Lucifer และการปฏิเสธบริการบอทแบบกระจาย ปรากฏตัวครั้งแรกบน Windows ในเดือนมิถุนายน และบน Linux ในเดือนสิงหาคม การจุติของ Linux ของ Lucifer ช่วยให้สามารถโจมตี DDoS ที่ใช้ HTTP ได้เช่นเดียวกับบน TCP, UCP และ ICMP

Penquin_x64

นักวิจัยได้เปิดเผยสายพันธุ์ใหม่ของมัลแวร์ตระกูล Turla Penquin เมื่อเดือนพฤษภาคม เป็นแบ็คดอร์ที่ช่วยให้ผู้โจมตีสามารถสกัดกั้นการรับส่งข้อมูลเครือข่ายและเรียกใช้คำสั่งโดยไม่ต้องรับรูท

Kaspersky พบช่องโหว่ที่ทำงานบนเซิร์ฟเวอร์หลายสิบเครื่องในสหรัฐอเมริกาและยุโรปในเดือนกรกฎาคม

โดกิ

Doki เป็นเครื่องมือลับๆ ที่กำหนดเป้าหมายไปที่เซิร์ฟเวอร์ Docker ที่ตั้งค่าไม่ดีเป็นหลักเพื่อติดตั้งเครื่องขุดคริปโต

ในขณะที่มัลแวร์มักจะติดต่อที่อยู่ IP หรือ URL ที่กำหนดไว้ล่วงหน้าเพื่อรับคำแนะนำ ผู้สร้างของ Doki ได้ตั้งค่าระบบไดนามิกซึ่งใช้ Dogecoin crypto blockchain API ซึ่งทำให้ยากต่อการทำลายโครงสร้างพื้นฐานของคำสั่ง เนื่องจากตัวดำเนินการมัลแวร์สามารถเปลี่ยนเซิร์ฟเวอร์ควบคุมได้ด้วยธุรกรรม Dogecoin เพียงรายการเดียว

เพื่อหลีกเลี่ยง Doki คุณควรตรวจสอบให้แน่ใจว่าอินเทอร์เฟซการจัดการ Docker ของคุณได้รับการกำหนดค่าอย่างเหมาะสม

TrickBot

TrickBot เป็นโทรจันธนาคารที่ใช้สำหรับการโจมตีแรนซัมแวร์และการโจรกรรมข้อมูลประจำตัว ซึ่งได้ทำการย้ายจาก Windows ไปเป็น Linux Anchor_DNS หนึ่งในเครื่องมือที่ใช้โดยกลุ่มที่อยู่เบื้องหลัง TrickBot ปรากฏในรูปแบบ Linux ในเดือนกรกฎาคม

Anchor_Linux ทำหน้าที่เป็นแบ็คดอร์และมักจะแพร่กระจายผ่านไฟล์ zip มัลแวร์ตั้งค่างานcronและติดต่อเซิร์ฟเวอร์ควบคุมผ่านการสืบค้น DNS

ที่เกี่ยวข้อง: วิธีสังเกตอีเมลฟิชชิ่ง

ผู้ประกอบการ

Tycoon Trojan มักจะแพร่กระจายเป็น Java Runtime Environment ที่ถูกบุกรุกภายในไฟล์ zip นักวิจัยพบว่าในเดือนมิถุนายนทำงานบนทั้งระบบ Windows และ Linux ของธุรกิจขนาดเล็กถึงขนาดกลาง ตลอดจนสถาบันการศึกษา มันเข้ารหัสไฟล์และต้องการเงินค่าไถ่

คลาวด์ Snooper

รูทคิทนี้จี้ Netfilter เพื่อซ่อนคำสั่งและการโจรกรรมข้อมูลระหว่างการรับส่งข้อมูลเว็บปกติเพื่อเลี่ยงผ่านไฟร์วอลล์

ระบุครั้งแรกบนระบบคลาวด์ของ Amazon Web Services ในเดือนกุมภาพันธ์ สามารถใช้ระบบเพื่อควบคุมมัลแวร์บนเซิร์ฟเวอร์ใดๆ ที่อยู่เบื้องหลังไฟร์วอลล์ใดๆ

PowerGhost

นอกจากนี้ ในเดือนกุมภาพันธ์ นักวิจัยที่ Trend Micro ค้นพบว่า PowerGhost ได้ก้าวกระโดดจาก Windows เป็น Linux นี่คือตัวขุด cryptocurrency แบบไม่มีไฟล์ที่สามารถทำให้ระบบของคุณช้าลงและลดฮาร์ดแวร์ลงด้วยการสึกหรอที่เพิ่มขึ้น

เวอร์ชัน Linux สามารถถอนการติดตั้งหรือฆ่าผลิตภัณฑ์ป้องกันมัลแวร์และยังคงทำงานโดยใช้งาน cron สามารถติดตั้งมัลแวร์อื่นๆ เข้าถึงรูท และแพร่กระจายผ่านเครือข่ายโดยใช้ SSH

FritzFrog

เนื่องจากบ็อตเน็ตแบบเพียร์ทูเพียร์ (P2P) นี้ถูกระบุครั้งแรกในเดือนมกราคม 2020 จึงพบเวอร์ชันอื่นๆ อีก 20 เวอร์ชัน เหยื่อได้แก่ รัฐบาล มหาวิทยาลัย ศูนย์การแพทย์ และธนาคาร

Fritzfrog เป็นมัลแวร์แบบไม่มีไฟล์ ซึ่งเป็นภัยคุกคามประเภทหนึ่งที่อาศัยอยู่ใน RAM มากกว่าบนฮาร์ดไดรฟ์ของคุณและใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่มีอยู่เพื่อทำงาน แทนที่จะใช้เซิร์ฟเวอร์ จะใช้ P2P เพื่อส่งการสื่อสาร SSH ที่เข้ารหัสเพื่อประสานการโจมตีในเครื่องต่างๆ อัปเดตตัวเอง และทำให้แน่ใจว่างานจะกระจายอย่างเท่าเทียมกันทั่วทั้งเครือข่าย

แม้ว่า Fritzfrog แบบไม่มีไฟล์จะสร้างแบ็คดอร์โดยใช้คีย์ SSH สาธารณะเพื่อให้สามารถเข้าถึงได้ในอนาคต ข้อมูลการเข้าสู่ระบบสำหรับเครื่องที่ถูกบุกรุกจะถูกบันทึกไว้ในเครือข่าย

รหัสผ่านที่รัดกุมและการรับรองความถูกต้องของคีย์สาธารณะช่วยป้องกันการโจมตีนี้ การเปลี่ยนพอร์ต SSH ของคุณหรือปิดการเข้าถึง SSH หากคุณไม่ได้ใช้งานก็เป็นความคิดที่ดีเช่นกัน

FinSpy

FinFisher ขาย FinSpy ซึ่งเกี่ยวข้องกับการสอดแนมนักข่าวและนักเคลื่อนไหว เพื่อเป็นโซลูชันการเฝ้าระวังนอกระบบสำหรับรัฐบาล แอมเนสตี้ อินเตอร์เนชั่นแนล ซึ่งเคยพบเห็นบน Windows และ Android ตรวจพบมัลแวร์เวอร์ชัน Linux ในเดือนพฤศจิกายน 2019

FinSpy อนุญาตให้แตะการจราจร เข้าถึงข้อมูลส่วนตัว และการบันทึกวิดีโอและเสียงจากอุปกรณ์ที่ติดไวรัส

เรื่องนี้เป็นที่รู้จักของสาธารณชนในปี 2554 เมื่อผู้ประท้วงพบสัญญาซื้อ FinSpy ในสำนักงานของหน่วยรักษาความปลอดภัยอียิปต์ที่โหดร้ายหลังจากการโค่นล้มประธานาธิบดีมูบารัค

ถึงเวลาที่ผู้ใช้ Linux จะเริ่มรักษาความปลอดภัยอย่างจริงจังแล้วหรือยัง?

แม้ว่าผู้ใช้ Linux อาจไม่เสี่ยงต่อภัยคุกคามความปลอดภัยมากมายเท่ากับผู้ใช้ Windows ไม่ต้องสงสัยเลยว่าคุณค่าและปริมาณข้อมูลที่ระบบ Linux เก็บไว้ทำให้แพลตฟอร์มนี้น่าดึงดูดสำหรับอาชญากรไซเบอร์มากขึ้น

หาก FBI และ NSA เป็นกังวล ผู้ค้ารายเดียวหรือธุรกิจขนาดเล็กที่ใช้ Linux ควรเริ่มให้ความสำคัญกับความปลอดภัยมากขึ้นในขณะนี้ หากพวกเขาต้องการหลีกเลี่ยงความเสียหายหลักประกันในระหว่างการโจมตีในอนาคตในองค์กรขนาดใหญ่

นี่คือเคล็ดลับในการป้องกันตัวเองจากมัลแวร์ Linux ที่เพิ่มขึ้นเรื่อยๆ:

• อย่าเรียกใช้ไบนารีหรือสคริปต์จากแหล่งที่ไม่รู้จัก
• ติดตั้งซอฟต์แวร์ความปลอดภัยเช่น โปรแกรมป้องกันไวรัสและตัวตรวจจับรูทคิต
• ระวังเมื่อติดตั้งโปรแกรมโดยใช้คำสั่งเช่น curl อย่าเรียกใช้คำสั่งจนกว่าคุณจะเข้าใจสิ่งที่มันจะทำเริ่มต้นการวิจัยบรรทัดคำสั่งของคุณที่นี่
• เรียนรู้วิธีตั้งค่าไฟร์วอลล์ของคุณอย่างถูกต้อง ควรบันทึกกิจกรรมเครือข่ายทั้งหมด บล็อกพอร์ตที่ไม่ได้ใช้ และโดยทั่วไปให้การเปิดเผยเครือข่ายของคุณให้น้อยที่สุดที่จำเป็น
• อัปเดตระบบของคุณเป็นประจำ ตั้งค่าการอัปเดตความปลอดภัยให้ติดตั้งโดยอัตโนมัติ
• ตรวจสอบให้แน่ใจว่าการอัปเดตของคุณถูกส่งผ่านการเชื่อมต่อที่เข้ารหัส
• เปิดใช้งานระบบการรับรองความถูกต้องด้วยคีย์สำหรับ SSH และรหัสผ่านเพื่อป้องกันคีย์
• ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) และเก็บคีย์ไว้ในอุปกรณ์ภายนอก เช่น Yubikey
• ตรวจสอบบันทึกเพื่อหาหลักฐานการโจมตี