2020 年是 Linux 惡意軟件大流行年嗎？

它的安全聲譽意味著 Linux 通常被認為不太容易受到經常困擾 Microsoft Windows 系統的威脅。大部分感知安全性來自相對較少的 Linux 系統，但網絡犯罪分子是否開始看到選擇質量而不是數量的價值？

Linux 威脅格局正在發生變化

Kaspersky 和 ​​Blackberry 等公司的安全研究人員以及FBI 和 NSA等聯邦機構警告惡意軟件作者增加對 Linux 的關注。

該操作系統現在被公認為是獲取商業機密、知識產權和人事信息等有價值數據的門戶。Linux 服務器還可以用作感染更廣泛的 Windows、macOS 和 Android 設備網絡的中轉點。

即使它不是在您的台式機或筆記本電腦上運行的操作系統，您的數據也可能遲早會暴露給 Linux。您的雲存儲、VPN 和電子郵件提供商，以及您的雇主、健康保險公司、政府服務機構或大學，幾乎肯定都在將 Linux 作為其網絡的一部分運行，而且您很有可能擁有或將擁有基於 Linux 的互聯網現在或將來的物聯網 (IoT) 設備。

在過去的 12 個月中發現了多種威脅。有些是移植到 Linux 的已知 Windows 惡意軟件，而另一些則在服務器上潛伏了將近十年，這表明安全團隊低估了風險的程度。

許多系統管理員可能認為他們的組織不夠重要，不能成為目標。然而，即使您的網絡不是什麼大獎，您的供應商或客戶也可能更有吸引力，例如，通過網絡釣魚攻擊訪問您的系統可能是滲透他們的第一步。因此，值得評估您如何保護您的系統。

2020 年發現的 Linux 惡意軟件

以下是我們對去年確定的威脅的匯總。

RansomEXX 木馬

卡巴斯基研究人員在 11 月透露，該木馬已作為可執行文件移植到 Linux。受害者留下了使用 256 位 AES 密碼加密的文件以及有關聯繫惡意軟件作者以恢復其數據的說明。

Windows 版本在 2020 年攻擊了一些重要目標，包括柯尼卡美能達、德克薩斯州交通運輸部和巴西法院系統。

RansomEXX 專門為每個受害者量身定制，組織名稱包含在加密文件擴展名和贖金票據上的電子郵件地址中。

Gitpaste-12

Gitpaste-12 是一種新的蠕蟲，它感染 x86 服務器和運行 Linux 的物聯網設備。它的名字來源於使用 GitHub 和 Pastebin 下載代碼，以及它的 12 種攻擊方法。

該蠕蟲可以禁用 AppArmor、SELinux、防火牆和其他防禦措施，並安裝加密貨幣礦工。

IP風​​暴

自 2019 年 5 月以來，該殭屍網絡的新版本已於 2019 年 5 月在 Windows 上為人所知，並於 9 月發現了能夠攻擊 Linux 的新版本。它解除了 Linux 的內存不足殺手以保持自身運行並殺死可能阻止其工作的安全進程。

Linux 版本具有額外的功能，例如使用 SSH 查找目標、利用 Steam 遊戲服務以及抓取色情網站以欺騙點擊廣告。

它還可以感染通過 Android 調試橋 (ADB) 連接的 Android 設備。

德羅沃魯布

FBI 和 NSA 在 8 月份的警告中強調了這個 rootkit。它可以躲避管理員和殺毒軟件，運行root命令，並允許黑客上傳和下載文件。根據兩家機構的說法，Drovorub 是 Fancy Bear 的作品，這是一群為俄羅斯政府工作的黑客。

這種感染很難檢測到，但至少升級到 3.7 內核並阻止不受信任的內核模塊應該有助於避免它。

路西法

Lucifer 惡意加密挖掘和分佈式拒絕服務機器人於 6 月首次出現在 Windows 上，8 月首次出現在 Linux 上。Lucifer 的 Linux 化身允許基於 HTTP 的 DDoS 攻擊以及 TCP、UCP 和 ICMP。

Penquin_x64

研究人員在 5 月份發現了這種新的 Turla Penquin 惡意軟件系列。它是一個後門，允許攻擊者在不獲取 root 的情況下攔截網絡流量並運行命令。

卡巴斯基 7 月份發現該漏洞在美國和歐洲的數十台服務器上運行。

土木

Doki 是一個後門工具，主要針對設置不當的 Docker 服務器來安裝加密礦工。

雖然惡意軟件通常會聯繫預先確定的 IP 地址或 URL 來接收指令，但 Doki 的創建者已經建立了一個使用 Dogecoin 加密區塊鏈 API 的動態系統。這使得刪除命令基礎設施變得困難，因為惡意軟件操作員只需通過一次狗狗幣交易就可以更改控制服務器。

為避免 Doki，您應該確保正確配置 Docker 管理界面。

特技機器人

TrickBot 是一種銀行木馬，用於勒索軟件攻擊和身份盜用，它也已從 Windows 轉移到 Linux。Anchor_DNS 是 TrickBot 背後的小組使用的工具之一，於 7 月出現在 Linux 變體中。

Anchor_Linux 充當後門，通常通過 zip 文件進行傳播。該惡意軟件設置了一個cron任務並通過 DNS 查詢聯繫控制服務器。

相關：如何發現網絡釣魚電子郵件

巨頭

Tycoon 特洛伊木馬通常作為受感染的 Java 運行時環境在 zip 存檔中傳播。研究人員在 6 月份發現它可以在中小型企業和教育機構的 Windows 和 Linux 系統上運行。它加密文件並要求支付贖金。

雲窺探者

該 rootkit 劫持 Netfilter 以隱藏正常 Web 流量中的命令和數據竊取以繞過防火牆。

該系統於 2 月首次在 Amazon Web Services 雲上發現，可用於控制任何防火牆後面的任何服務器上的惡意軟件。

強力幽靈

同樣在 2 月份，趨勢科技的研究人員發現 PowerGhost 已經從 Windows 跨越到 Linux。這是一個無文件加密貨幣礦工，它可以通過增加磨損來減慢您的系統並降低硬件。

Linux 版本可以卸載或殺死反惡意軟件產品，並使用 cron 任務保持活動狀態。它可以安裝其他惡意軟件，獲得 root 訪問權限，並使用 SSH 通過網絡傳播。

弗里茨蛙

自 2020 年 1 月首次發現這種點對點 (P2P) 殭屍網絡以來，已經發現了 20 個以上的版本。受害者包括政府、大學、醫療中心和銀行。

Fritzfrog 是無文件惡意軟件，是一種存在於 RAM 而非硬盤驅動器中的威脅，它利用現有軟件中的漏洞來完成其工作。它不使用服務器，而是使用 P2P 發送加密的 SSH 通信，以協調跨不同機器的攻擊、自我更新並確保工作在整個網絡中均勻分佈。

儘管它是無文件的，但 Fritzfrog 確實使用公共 SSH 密鑰創建了一個後門，以允許將來訪問。然後，受感染機器的登錄信息將保存在網絡中。

強密碼和公鑰身份驗證可以防止這種攻擊。如果您不使用 SSH 端口，則更改 SSH 端口或關閉 SSH 訪問也是一個好主意。

金融間諜

FinFisher 出售與監視記者和活動家有關的 FinSpy，作為政府現成的監視解決方案。國際特赦組織此前曾在 Windows 和 Android 上發現過該惡意軟件的 Linux 版本，並於 2019 年 11 月發現了該惡意軟件。

FinSpy 允許竊取流量、訪問私人數據以及從受感染設備錄製視頻和音頻。

2011 年，在穆巴拉克總統被推翻後，抗議者在殘酷的埃及安全部門的辦公室裡找到了一份購買 FinSpy 的合同，這讓公眾意識到了這一點。

Linux 用戶是時候開始認真對待安全了嗎？

雖然 Linux 用戶可能不像 Windows 用戶那樣容易受到那麼多安全威脅，但毫無疑問，Linux 系統所擁有的數據的價值和數量正在使該平台對網絡犯罪分子更具吸引力。

如果 FBI 和 NSA 感到擔憂，那麼運行 Linux 的個體經營者或小型企業現在應該開始更加關注安全性，如果他們想避免在未來對大型組織的攻擊中成為附帶損害。

以下是我們保護自己免受不斷增長的 Linux 惡意軟件列表的提示：

• 不要運行來自未知來源的二進製文件或腳本。
• 安裝安全軟件，例如防病毒程序和 rootkit 檢測器。
• 使用 curl 等命令安裝程序時要小心。在您完全了解它要做什麼之前，不要運行該命令，請在此處開始您的命令行研究。
• 了解如何正確設置防火牆。它應該記錄所有網絡活動，阻止未使用的端口，並且通常將您對網絡的暴露保持在必要的最低限度。
• 定期更新您的系統；將安全更新設置為自動安裝。
• 確保您的更新是通過加密連接發送的。
• 為 SSH 和密碼啟用基於密鑰的身份驗證系統以保護密鑰。
• 使用雙因素身份驗證(2FA) 並將密鑰保存在 Yubikey 等外部設備上。
• 檢查日誌以獲取攻擊證據。