接上文《??針對Linux發(fā)起攻擊的14個APT組織(上)??》

Tsunami后門

Tsunami(又名Kaiten)是一個UNIX后門，自2002年首次在野外被發(fā)現(xiàn)以來，被多個攻擊者使用。源代碼幾年前就公開了，現(xiàn)在有70多個變種。源代碼可以在各種嵌入式計算機上順暢地編譯，還有針對ARM、MIPS、Sparc和思科4500/PowerPC的版本。Tsunami仍然是基于linux的路由器、DVR和不斷增加的物聯(lián)網(wǎng)計算機的攻擊。2016年，Linux Mint黑客使用了Tsunami的變體，其中一個未知的攻擊因素破壞了Linux Mint發(fā)行版ISO，使其包含后門。研究人員還觀察到使用Tsunami后門以精確攻擊方式針對Linux上的許多加密貨幣用戶。

??

Turla

長期以 Windows 用戶為侵襲目標的惡意軟件“Turla”(也被稱為 Snake 或 Uroboros)，2017年Turla將其觸角伸向了 Mac 用戶，并偽裝成一個 Adobe Flash 安裝器程序，令用戶上當受騙。據(jù)安全網(wǎng)站 Malwarebytes 的報道，更新后的代碼讓Snake 偽裝成為一個 Adobe Flash 安裝器程序，并打包在一個名為“Install Adobe Flash Player.app.zip”的 ZIP 壓縮文件中。運行該壓縮文件，安裝程序的簽名將改為“Addy Symonds”而不是 Adobe。 目前Mac 電腦所引入的 Gatekeeper 的安全技術(shù)，可以保證用戶安裝擁有開發(fā)者簽名的應用，防止一些外來的惡意軟件。蘋果已經(jīng)撤銷了這一偽裝證書。

Turla的與其他APT組織一樣，多年來對其工具集進行了重大更改。直到2014年，研究人員看到的Turla使用的所有惡意軟件樣本都是為32位或64位版本的Windows設計的。

[[342727]]

然后在2014年12月，研究人員發(fā)表了關(guān)于Penguin Turla的報告，這是Turla庫中的一個Linux組件。這是一個秘密后門，不需要提高特權(quán)，即管理員或root權(quán)限。即使對系統(tǒng)有有限訪問權(quán)限的人啟動它，后門也可以攔截進入的數(shù)據(jù)包，并運行來自攻擊者對系統(tǒng)的命令。它也很難被發(fā)現(xiàn)，因此，如果將其安裝在受感染的服務器上，它可能會長時間呆在那里。對Penguin Turla的進一步研究表明，其起源可以追溯到1990年代中期的Moonlight Maze行動。今年5月，來自Leonardo的研究人員發(fā)表了有關(guān)Penguin_x64的報告，Penguin_x64是Penguin Turla Linux后門的先前未記錄的變體。根據(jù)此報告，研究人員生成了可大規(guī)模檢測Penquin_x64感染主機的網(wǎng)絡探針，使研究人員能夠在2020年7月之前在歐洲和美國發(fā)現(xiàn)幾十個受感染服務器。研究人員相信，根據(jù)GNU/Linux工具的公開文檔，Turla可能已經(jīng)對Penguin進行了改造，使其能夠執(zhí)行傳統(tǒng)情報收集之外的操作。

TwoSail Junk

2020年1月10日研究人員發(fā)現(xiàn)名為LightSpy的惡意軟件，攻擊網(wǎng)站頁面內(nèi)容是針對香港用戶設計的，研究人員暫時命名該APT組織“TwoSail Junk”。盡管在公開的報道中，研究人員認為TwoSail Junk 的公開目標是針對iOS的，但根據(jù)跟蹤分析， TwoSail Junk也可能支持Windows, Linux。

全新的WellMess木馬

7月16日，美國網(wǎng)絡安全和基礎(chǔ)設施安全局(CISA)，英國國家網(wǎng)絡安全中心(NCSC)，加拿大通信安全機構(gòu)(CSE)和美國國家安全局(NSA)發(fā)布了一份聯(lián)合報告，稱APT29組織使用WellMess系列工具針對美國、英國和加拿大的新冠病毒研究和疫苗研發(fā)相關(guān)機構(gòu)發(fā)動攻擊。值得注意的是，報告中該重點提及的“WellMess”正是一例全新APT組織，2019年360安全大腦就已捕獲并發(fā)現(xiàn)了WellMess組織一系列的APT攻擊活動，并將其命名為“魔鼠”，單獨編號為APT-C-42。更為驚險的是，360安全大腦披露，從2017年12月開始，WellMess組織便通過網(wǎng)絡滲透和供應鏈攻擊作戰(zhàn)之術(shù)，瞄準國內(nèi)某網(wǎng)絡基礎(chǔ)服務提供商，發(fā)起了定向攻擊。

從2020年3月開始，卡巴斯基實驗室的研究人員開始積極跟蹤與惡意軟件WellMess相關(guān)的新C2服務器，這意味著潛在的大規(guī)模新活動之前就已經(jīng)開始了。該惡意軟件最初是在2018年7月就已經(jīng)被JPCERT發(fā)現(xiàn)，從那以后就偶爾活躍起來。根據(jù)追蹤分析，WellMess可能與CozyDuke(又名APT29)有關(guān)，目前攻擊者的活動主要集中在醫(yī)療保健行業(yè)，盡管研究人員無法證實這兩種說法。WellMess是一種用.NET和Go(Golang)編寫的遠程訪問木馬，可以交叉編譯以與Windows和Linux兼容。

WildNeutron

2015年，研究人員與賽門鐵克合作發(fā)表了關(guān)于WildNeutron的研究報告，他們稱其為Morpho或Butterfly。該組織因2012-2013年對Twitter、微軟(Microsoft)、蘋果(Apple)和Facebook的攻擊而聲名鵲起，是研究人員所見過的最難以捉摸、最神秘、最活躍的組織之一。他們的工具庫包括許多有趣和創(chuàng)新的工具，例如LSA后門或IIS插件，以及基于零日的和物理部署。不出所料，在一些已知的攻擊中，WildNeutron也使用了一個自定義的Linux后門。早在2013年，卡巴斯基實驗室就曾發(fā)現(xiàn)該黑客組織(又被稱為“Jripbot”和“Morpho”)對多個知名公司發(fā)動了攻擊，包括蘋果公司、Facebook、Twitter和微軟公司。在攻擊事件曝光后，該黑客組織沉寂了近一年時間，此后于2013年末和2014年初繼續(xù)開始攻擊，并且持續(xù)到2015年。攻擊者使用了零日漏洞、多平臺惡意軟件以及其它多種攻擊技巧，所以，卡巴斯基實驗室研究人員認為這是一個實力強大的網(wǎng)絡間諜攻擊組織，其發(fā)動攻擊的目的可能是出于經(jīng)濟原因。

Zebrocy APT組織

卡巴斯基實驗室的研究人員表示，Zebrocy APT組織不斷更新其惡意軟件，這使得防御其攻擊變得越來越難。Zebrocy是自定義惡意軟件，研究人員從2015年開始跟蹤。使用該惡意軟件的組織最初是Sofacy 的一個獨立的子團隊，但與其他APT組織也有相似之處和重疊之處。該組織已經(jīng)開發(fā)了多種語言的惡意軟件，包括Delphi，AutoIT，.NET，C#，PowerShell和Go。 Zebrocy主要針對國內(nèi)和偏遠地區(qū)的中亞政府相關(guān)組織。該組織廣泛使用魚叉式網(wǎng)絡釣魚來破壞Windows端點。但是，它的后門配置為通過端口80與IP分配的Web服務器主機直接通信。并且該組織似乎更喜歡Linux作為其基礎(chǔ)架構(gòu)的一部分，特別是在Debian Linux上運行的Apache 2.4.10。

保護Linux系統(tǒng)的建議

Linux系統(tǒng)不受保護的主要原因之一是使用Linux而不是更流行(也更有針對性)的Windows會產(chǎn)生一種錯誤的安全感。盡管如此，研究人員希望通過本文足以讓你開始認真地保護基于linux的計算機。

第一個建議是維護軟件的可信來源列表，就像Android或iOS應用推薦的方法一樣，只安裝官方存儲庫中的應用程序。在Linux系統(tǒng)中，研究人員享受更多的自由，例如，即使你在使用Ubuntu，你也不會被限制在Canonical自己的存儲庫中。任何.DEB文件，甚至GitHub上的應用程序源代碼都可以為你服務。但是請明智地選擇這些來源，不要盲目地遵循“從我們的服務器運行此腳本以進行安裝”之類的說明。

還請注意從這些受信任存儲庫獲取應用程序的安全方式，更新應用程序的渠道必須使用HTTPS或SSH協(xié)議加密。除了你對軟件資源及其傳播渠道的信任之外，及時地進行更新也非常重要。大多數(shù)現(xiàn)代Linux版本都可以為你完成這一點，但是一個簡單的cron腳本將幫助你保持更多的保護，并在開發(fā)人員發(fā)布修補程序后立即獲取所有修補程序。

其次研究人員建議檢查與網(wǎng)絡相關(guān)的設置，使用像“netstat -a”這樣的命令，你可以過濾掉你主機上所有不必要的打開端口。請避免使用你不需要或不使用的網(wǎng)絡應用程序，以最大程度地減少網(wǎng)絡耗用空間。另外，強烈建議你從Linux發(fā)行版中正確設置防火墻，以過濾流量并存儲主機的網(wǎng)絡活動。最好不要直接上網(wǎng)，而要通過NAT上網(wǎng)。

為了繼續(xù)執(zhí)行與網(wǎng)絡相關(guān)的安全規(guī)則，研究人員建議至少使用密碼保護本地存儲的SSH密鑰(用于網(wǎng)絡服務)。在更多的“偏執(zhí)”模式下，你甚至可以將密鑰存儲在外部受保護的存儲中，例如來自任何受信任供應商的令牌。在連接的服務器端，如今，為SSH會話設置多因素身份驗證并不困難，例如發(fā)送給你手機的消息或其他機制(例如身份驗證器應用)。

這樣，研究人員的建議涵蓋了軟件來源、應用程序傳播渠道、避免不必要的網(wǎng)絡耗用和加密密鑰的保護。對于監(jiān)控在文件系統(tǒng)級別找不到的攻擊，研究人員推薦的另一個方法是保存和分析網(wǎng)絡活動日志。

作為攻擊模型的一部分，你需要考慮以下可能性：盡管采取了上述所有措施，攻擊者仍可能破壞你的保護。考慮到攻擊者對系統(tǒng)的持久性，請考慮下一步的保護措施。他們可能會進行更改，以便能夠在系統(tǒng)重新引導后自動啟動木馬。因此，你需要定期監(jiān)控主要配置文件以及系統(tǒng)二進制文件的完整性，以防文件病毒感染。上面提到的用于監(jiān)控網(wǎng)絡通信的日志在此處完全適用：Linux審核系統(tǒng)收集系統(tǒng)調(diào)用和文件訪問記錄，諸如“osquery”之類的其他守護程序也可以用于同一任務。

最后計算機的物理安全性也很重要，如果你的筆記本電腦最終落入攻擊者之手，而你沒有采取措施保護它不受此攻擊環(huán)境的攻擊，則后果就不可想象了。為了物理安全性，應該考慮全磁盤加密和安全引導機制。

具有Linux安全性的專用解決方案可以簡化保護任務，Web威脅防護可以檢測到惡意網(wǎng)站和網(wǎng)絡釣魚網(wǎng)站，網(wǎng)絡威脅防護可檢測傳入流量中的網(wǎng)絡攻擊，行為分析可以檢測到惡意活動，而設備控制則可以管理連接的設備并對其進行訪問。

研究人員的最終建議與Docker有關(guān)，這不是理論上的威脅：Docker的感染是一個非常現(xiàn)實的問題。Docker本身并不能提供安全性。一些Docker與主機之間是完全隔離的，但并不是所有的網(wǎng)絡和文件系統(tǒng)接口都存在于其中，而且在大多數(shù)情況下，在物理環(huán)境和Docker環(huán)境之間存在著某種連接。

因此，你可以使用允許在開發(fā)過程中添加安全性的安全解決方案。Kaspersky Hybrid Cloud Security包括集成CI/CD平臺，如Jenkins，通過腳本掃描Docker映像在不同階段的惡意元素。

為了防止供應鏈攻擊，可以使用Docker、映像以及本地和遠程存儲庫的On-Access掃描(OAS)和按需掃描(ODS)。名稱空間監(jiān)控、靈活的基于掩碼的掃描范圍控制和掃描Docker的不同層的能力有助于實施最安全的防護措施。

請記住，除了應用研究人員提到的所有措施外，你還應該定期審計和檢查所有生成的日志和任何其他消息。否則你可能會錯過被攻擊的跡象。

最后如果你是一個專業(yè)安全人員，可以不時地進行系統(tǒng)滲透測試。

總結(jié)

• 構(gòu)建一個受信任的軟件源列表，避免使用未加密的更新通道;
• 不要從不可信的源運行二進制文件和腳本;
• 確保你的更新程序是有效的;
• 設置自動安全更新;
• 多花點精力正確地設置防火墻，以確保它記錄網(wǎng)絡活動，阻止所有你不用的端口，最小化你的網(wǎng)絡耗用;
• 使用基于密鑰的SSH身份驗證，用密碼保護密鑰;
• 使用2FA并將敏感密鑰存儲在外部令牌計算機(如Yubikey)上;
• 使用帶外網(wǎng)絡tap獨立地監(jiān)控和分析Linux系統(tǒng)的網(wǎng)絡通信;
• 維護系統(tǒng)可執(zhí)行文件的完整性;
• 定期檢查配置文件的更改;
• 為內(nèi)部/物理攻擊做好準備：使用全磁盤加密、可信/安全引導并在關(guān)鍵硬件上安裝明顯篡改的安全磁盤;
• 審核系統(tǒng)，檢查日志中的攻擊兆頭;
• 在Linux設置上運行滲透測試;
• 使用具有web和網(wǎng)絡保護的Linux專用安全解決方案，以及DevOps保護功能;

本文翻譯自：https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/