研究人員發(fā)現(xiàn)，更多高級(jí)攻擊組織正在創(chuàng)建工具和平臺(tái)來(lái)針對(duì)基于Linux的設(shè)備。因此，本文希望分析有關(guān)Linux安全性的誤解，以及討論組織如何更好地保護(hù)其Linux計(jì)算機(jī)。

[[341972]]

在過去的8年里，卡巴斯基全球研究與分析團(tuán)隊(duì)觀察到，越來(lái)越多的APT組織開始針對(duì)運(yùn)行Linux軟件的設(shè)備。

事實(shí)上，人們普遍認(rèn)為L(zhǎng)inux操作系統(tǒng)默認(rèn)是安全的，并且不易受到惡意代碼的攻擊。這種誤解主要是因?yàn)樵谶^去網(wǎng)絡(luò)犯罪分子創(chuàng)建針對(duì)對(duì)Linux臺(tái)式機(jī)和服務(wù)器的惡意軟件更少，并且相關(guān)攻擊也更少，與之相反的是針對(duì)Windows攻擊的報(bào)道很多。不過，研究人員認(rèn)為，盡管Linux尚未遇到Windows系統(tǒng)所遭遇的大量病毒、蠕蟲和特洛伊木馬，但它仍然是一個(gè)有吸引力的目標(biāo)。

APT組織之所以將目標(biāo)瞄準(zhǔn)Linux，關(guān)鍵因素是容器化趨勢(shì)推動(dòng)了Linux的廣泛采用。向虛擬化和容器化的轉(zhuǎn)變使得大多數(shù)企業(yè)在某些日常任務(wù)中都使用Linux，而這些設(shè)備通?？梢詮腎nternet訪問，并且可以用作攻擊者的初始入口點(diǎn)。

此外，一些IT、電信公司和政府使用的Linux和macOS設(shè)備比Windows系統(tǒng)更多，這讓攻擊者別無(wú)選擇。

卡巴斯基的遙測(cè)表明，服務(wù)器是攻擊的最常見目標(biāo)，其次是企業(yè)IT和網(wǎng)絡(luò)設(shè)備，然后是工作站。在某些情況下，攻擊者還會(huì)利用被入侵的Linux路由器對(duì)同一網(wǎng)絡(luò)中的Windows發(fā)起攻擊。最終造成攻擊者既可以訪問Linux服務(wù)器上的數(shù)據(jù)，又可以訪問運(yùn)行Windows或可能已連接的macOS的端點(diǎn)。

不斷演變的威脅

攻擊者對(duì)Linux惡意軟件進(jìn)行更改，從而針對(duì)Linux設(shè)備發(fā)起攻擊。剛開始編寫惡意軟件時(shí)，攻擊者的目標(biāo)是操縱網(wǎng)絡(luò)流量。比如Cloud Snooper黑客組織就使用了一個(gè)面向服務(wù)器的Linux內(nèi)核rootkit，旨在操縱Netfilter流量控制功能以及跨越目標(biāo)防火墻的命令和控制通信。

而Barium(APT41)也有同樣的目標(biāo)。該組織從2013年開始瞄準(zhǔn)游戲公司以獲取經(jīng)濟(jì)利益，隨著時(shí)間的推移，它開發(fā)了新的工具并追求更復(fù)雜的目標(biāo)，使用名為MessageTap的Linux惡意軟件，攔截來(lái)自電信提供商基礎(chǔ)設(shè)施的短信。

此外，針對(duì)Linux的APT攻擊者經(jīng)常使用基于Linux服務(wù)器和臺(tái)式機(jī)上可用的合法工具(例如，編譯代碼或運(yùn)行Python腳本的能力)，導(dǎo)致在日志中留下的攻擊痕跡更少，進(jìn)一步保證了權(quán)限維持的可能。具體操作上，一般是感染IoT、網(wǎng)絡(luò)盒，或者替換受感染服務(wù)器上的合法文件。因?yàn)檫@些設(shè)備/內(nèi)容不經(jīng)常更新，并且在許多情況下沒有安裝防病毒軟件。

許多企業(yè)對(duì)網(wǎng)絡(luò)攻擊者擁有PHP后門、rootkit和為L(zhǎng)inux編寫的利用代碼并不十分擔(dān)心，這是非常危險(xiǎn)的訊號(hào)。雖然Linux沒有像Windows那么頻繁地成為攻擊目標(biāo)，但研究人員建議企業(yè)采取措施保護(hù)環(huán)境免受此類攻擊。

• 為軟件保留一份可信來(lái)源的列表。
• 只安裝來(lái)自官方商店的應(yīng)用程序。
• 檢查網(wǎng)絡(luò)設(shè)置并避免不必要的網(wǎng)絡(luò)應(yīng)用程序。
• 從Linux發(fā)行版中正確配置其防火墻，以過濾流量并存儲(chǔ)主機(jī)的網(wǎng)絡(luò)活動(dòng)。