许多组织选择Linux作为具有战略意义的服务器和系统,这不仅是因为与普遍使用的Windows操作系统相比,这种操作系统更安全,并且更不容易受到网络威胁的危害。
虽然大规模恶意软件攻击的确如此,但是当涉及到高级持久性威胁(APT)时,情况就不那么清晰了。此外,卡巴斯基的研究人员还发现了一个趋势,即越来越多的威胁行为者正在对基于Linux的设备实施有针对性攻击,同时开发了更多针对Linux的工具。
过去八年以里,有超过数十个APT行为者被发现使用Linux恶意软件或某些基于Linux的模块。其中包括Barium、Sofacy、the Lamberts和Equation等臭名昭著的威胁组织,还有最近发动攻击的 TwoSail Junk的LightSpy和 WellMess 等组织。借助Linux工具实现武器库的多样化,威胁行为者可以更有效地开展行动并扩大影响范围。
在许多国家,大型企业以及政府机构都在使用Linux作为桌面环境,这是一个显著的趋势,这迫使威胁行为者开发针对这些平台的恶意软件。Linux作为一种不太流行的操作系统,不太可能成为恶意软件的攻击目标,还为Linux平台招致了额外的网络安全风险。尽管对基于Linux的系统的针对性攻击还不常见,但肯定有专门为其设计的恶意软件——包括webshell、后面程序、rootkit甚至定制的漏洞利用程序。此外,少量的攻击具有误导性,因为成功入侵运行Linux的服务器往往会导致严重的后果。包括攻击者不仅能够访问受感染的设备,而且还包括运行Windows或macOS的端点,可能在不被注意的情况下,为攻击者提供更广泛的访问机会。
例如,网络威胁组织Turla——一个使用俄语的多产的威胁组织,以其隐蔽的渗透策略而闻名——该威胁组织近年来已经大大改变了其工具集,包括使用Linux后门。根据我们的遥测以及相关报道,2020年早些时候发现的Penguin_x64 Linux后门的新变种到2020年7月,已经染了欧洲和美国的数十台服务器。
另一个例子是使用韩语的APT组织 Lazarus,该组织继续使其工具集变得更加多样化,并且开发了非Windows恶意软件。卡巴斯基最近报道了名为MATA的多平台框架,2020年6月,研究人员进行了分析,发现这些新样本与针对金融机构的攻击和间谍活动中使用的Lazarus“ AppleJeus行动”和“TangoDaiwbo”活动有关。研究的样本包括Linux恶意软件。
“过去,我们的专家多次发现了APT组织加强其APT工具集的趋势,以Linux为中心的工具也不例外。为了确保系统安全,很多IT和安全部门都比以往更多地使用 Linux 系统。威胁行为者正在通过创建能够渗透此类系统的复杂工具来应对这一问题。我们建议网络安全专家考虑到这一趋势,部署额外的措施来保护他们的服务器和工作站安全,”卡巴斯基全球研究和分析团队俄罗斯地区负责人 Yury Namestnikov 评论说。
为了避免成为已知或未知的威胁行为者发动的针对Linux的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
- 维护一个受信任软件源的列表,并避免使用未加密的更新渠道
- 不要运行来自不受信任来源的二进制文件和脚本。广泛被宣传的使用 "curl https://install-url | sudo bash "等命令安装程序的方法存在安全隐患
- 确保你的更新流程是有效的,并设置自动安全更新
- 花点时间来正确地配置您的防火墙:确保防火墙能够记录网络行为,拦截您不使用的所有端口,并尽量减少您的网络足迹
- 使用基于密匙的 SSH 验证手段,并且使用密码保护您的密匙
- 使用 2FA (双因素认证),并且将敏感密匙保存在外部令牌设备上(如Yubikey)
- 使用带外网络分接头独立监视和分析Linux系统的网络通信
- 维护系统可执行文件的完整性并定期检查配置文件的更改
- 做好准备应对内部/物理攻击:使用全盘加密,受信任/安全启动,并在重要硬件上放置防篡改安全带
- 对系统进行审计,检查日志中是否存在攻击迹象
- 对您的 Linux 配置进行渗透测试
- 使用具有Linux保护功能的专用安全解决方案,如Integrated Endpoint Security。这类解决方案提供网络和网络保护,以检测网络钓鱼、恶意网站和网络攻击,还具备设备控制功能,允许用户定义将数据传输到其他设备的规则
- 卡巴斯基混合云安全提供对DevOps的保护,实现将安全集成到CI/CD平台和容器中,并对镜像进行扫描,以防止供应链攻击
要阅读完整版的 Linux APT 攻击概览以及深度安全建议解析,请访问Securelist.com.
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
