Jeho reputace zabezpečení znamená, že Linux je často považován za méně zranitelný vůči druhům hrozeb, které pravidelně trápí systémy Microsoft Windows. Velká část této vnímané bezpečnosti pochází z relativně nízkého počtu systémů Linux, ale jsou to kyberzločinci, kteří začínají vidět hodnotu při výběru Kvalita nad kvantitou?
Krajina hrozeb Linuxu se mění
Bezpečnostní výzkumní pracovníci ve společnostech jako Kaspersky a Blackberry spolu s federálními agenturami, jako je FBI a NSA varují před autory malwaru, kteří se více zaměřují na Linux.
OS je nyní uznáván jako brána k cenným datům, jako jsou obchodní tajemství, duševní vlastnictví a osobní informace. Servery Linux lze také použít jako pracovní místo pro infekci širších sítí plných zařízení s Windows, macOS a Android.
I když to není operační systém běžící na vašem počítači nebo notebooku, vaše data budou pravděpodobně dříve nebo později vystavena systému Linux. Vaše cloudová úložiště, VPN a poskytovatelé e-mailů, stejně jako váš zaměstnavatel, zdravotní pojišťovna, vládní služby nebo univerzita, jsou téměř jistě běžící Linux jako součást jejich sítí a je pravděpodobné, že nyní vlastníte nebo budete vlastnit zařízení s internetovým připojením k internetu (IoT) založené na Linuxu nebo v budoucnost.
Za posledních 12 měsíců bylo odhaleno několik hrozeb. Některé jsou známým malwarem pro Windows portovaným na Linux, zatímco jiné sedí na serverech nezjištěné téměř deset let a ukazují, kolik bezpečnostních týmů riziko podcenilo.
Mnoho správců systémů by mohlo předpokládat, že jejich organizace není natolik důležitá, aby byla cílem. I když však vaše síť není velkou cenou, mohou se vaši dodavatelé nebo klienti ukázat lákavější, a získání přístupu k vašemu systému například prostřednictvím phishingového útoku může být prvním krokem k infiltraci jejich. Takže to je stojí za to vyhodnotit, jak chráníte svůj systém.
Bez ohledu na to, zda si myslíte, že Linux je nejbezpečnějším operačním systémem, všechny operační systémy mají rizika a zranitelná místa, která lze zneužít. Zde je návod, jak s nimi na Linuxu zacházet.
Linuxový malware objevený v roce 2020
Tady je naše zátah hrozeb, které byly identifikovány za poslední rok.
Trojan RansomEXX
Vědci společnosti Kaspersky v listopadu odhalili, že tento trojský kůň byl portován na Linux jako spustitelný soubor. Oběti zůstanou soubory zašifrované 256bitovou šifrou AES a pokyny, jak kontaktovat autory malwaru, aby obnovila svá data.
Verze pro Windows zaútočila v roce 2020 na některé významné cíle, včetně Konica Minolta, texaského ministerstva dopravy a brazilského soudního systému.
RansomEXX je speciálně přizpůsoben každé oběti, přičemž název organizace je uveden jak v šifrované příponě souboru, tak v e-mailové adrese uvedené v poznámce o výkupném.
Gitpaste-12
Gitpaste-12 je nový červ, který infikuje servery x86 a zařízení IoT se systémem Linux. Svůj název získává díky použití GitHub a Pastebin ke stažení kódu a pro jeho 12 metod útoku.
Červ může deaktivovat AppArmor, SELinux, brány firewall a další obranu a také nainstalovat miner na kryptoměnu.
IPStorm
Ve Windows známá od května 2019, byla v září objevena nová verze tohoto botnetu, který je schopen útočit na Linux. Odzbrojuje zabijáka nedostatku paměti Linuxu, aby se udržel v chodu, a zabíjí bezpečnostní procesy, které by mu mohly bránit v práci.
Vydání pro Linux přichází s dalšími funkcemi, jako je použití SSH k vyhledání cílů, využití služeb her Steam a procházení pornografických webů ke zfalšování kliknutí na reklamy.
Má také chuť infikovat zařízení Android připojená přes Android Debug Bridge (ADB).
Drovorub
FBI a NSA zdůraznily tento rootkit v srpnovém varování. Může se vyhnout správcům a antivirovému softwaru, spouštět příkazy root a umožnit hackerům nahrávat a stahovat soubory. Podle obou agentur je Drovorub dílem Fancy Bear, skupiny hackerů, kteří pracují pro ruskou vládu.
Infekci je těžké odhalit, ale upgradu alespoň na jádro 3,7 a blokování nedůvěryhodných modulů jádra by se jí mělo vyhnout.
Lucifer
Luciferova škodlivá těžba kryptoměn a distribuované odmítnutí služby se poprvé objevily na Windows v červnu a na Linuxu v srpnu. Luciferova linuxová inkarnace umožňuje útoky DDoS založené na protokolu HTTP i přes TCP, UCP a ICMP.
Penquin_x64
Tento nový kmen malwaru rodiny Turla Penquin odhalili vědci v květnu. Je to zadní vrátka, která útočníkům umožňuje zachytit síťový provoz a spouštět příkazy bez získání root.
Společnost Kaspersky našla v červenci exploit spuštěný na desítkách serverů v USA a Evropě.
Doki
Doki je nástroj pro zadní vrátka, který se zaměřuje hlavně na špatně nastavené servery Docker pro instalaci kryptoměn.
Zatímco malware obvykle pro získání pokynů kontaktuje předem určené adresy IP nebo URL, tvůrci Doki nastavili dynamický systém, který využívá krypto blockchain API Dogecoin. Díky tomu je obtížné sundat velitelskou infrastrukturu, protože operátoři malwaru mohou změnit řídicí server pouze s jednou dogecoinovou transakcí.
Abyste se Doki vyhnuli, měli byste se ujistit, že je vaše rozhraní pro správu Docker správně nakonfigurováno.
TrickBot
TrickBot je bankovní trojan, který se používá k útokům ransomwaru a krádežím identity, což také způsobilo přechod z Windows na Linux. Anchor_DNS, jeden z nástrojů používaných skupinou za TrickBotem, se v červenci objevil ve variantě Linuxu.
Anchor_Linux funguje jako zadní vrátka a je obvykle šířen prostřednictvím souborů zip. Malware nastavuje a cron úkol a kontaktuje řídicí server pomocí dotazů DNS.
Příbuzný: Jak zjistit phishingový e-mail
Tycoon
Tycoon Trojan se obvykle šíří jako kompromitované prostředí Java Runtime Environment v archivu zip. Vědci to objevili v červnu a fungovali na systémech Windows i Linux malých a středních podniků i na vzdělávacích institucích. Šifruje soubory a požaduje výkupné.
Cloud Snooper
Tento rootkit unese Netfilter, aby skryl příkazy a krádež dat mezi běžným webovým provozem a obešel brány firewall.
Systém byl poprvé identifikován v cloudu Amazon Web Services v únoru a lze jej použít ke kontrole malwaru na jakémkoli serveru za jakoukoli bránou firewall.
PowerGhost
V únoru také vědci z Trend Micro zjistili, že PowerGhost udělal skok z Windows na Linux. Jedná se o těžař kryptoměn bez souborů, který může zpomalit váš systém a degradovat hardware zvýšeným opotřebením.
Verze pro Linux může odinstalovat nebo zabít produkty proti malwaru a zůstane aktivní pomocí úlohy cron. Může instalovat další malware, získat přístup root a šířit se po sítích pomocí SSH.
FritzFrog
Od té doby, co byl tento botnet typu peer-to-peer (P2P) poprvé identifikován v lednu 2020, bylo nalezeno dalších 20 verzí. Mezi oběťmi jsou vlády, univerzity, lékařská centra a banky.
Fritzfrog je malware bez souborů, což je typ hrozby, která žije spíše v paměti RAM než na vašem pevném disku a ke své práci využívá zranitelná místa ve stávajícím softwaru. Namísto serverů používá P2P k odesílání šifrované komunikace SSH ke koordinaci útoků napříč různými stroji, k vlastní aktualizaci a zajištění rovnoměrného šíření práce po celé síti.
Ačkoli je to bez souborů, Fritzfrog vytváří zadní vrátka pomocí veřejného klíče SSH, aby umožnil přístup v budoucnu. Přihlašovací údaje pro ohrožené stroje se poté uloží v síti.
Silná hesla a ověření veřejného klíče nabízejí ochranu před tímto útokem. Také je dobré změnit port SSH nebo vypnout přístup SSH, pokud jej nepoužíváte.
FinSpy
FinFisher prodává společnost FinSpy, která je spojena se špionáží novinářů a aktivistů, jako standardní řešení dohledu pro vlády. Společnost Amnesty International, která byla dříve používána v systémech Windows a Android, odhalila v listopadu 2019 verzi malwaru pro Linux.
FinSpy umožňuje odposlouchávání provozu, přístup k soukromým datům a nahrávání videa a zvuku z infikovaných zařízení.
Do povědomí veřejnosti se dostalo v roce 2011, když demonstranti po svržení prezidenta Mubaraka našli smlouvu na nákup FinSpy v kancelářích brutální egyptské bezpečnostní služby.
Je čas, aby uživatelé systému Linux začali vážně brát zabezpečení?
I když uživatelé systému Linux nemusí být tak zranitelní vůči tolika bezpečnostním hrozbám jako uživatelé systému Windows, není pochyb hodnota a objem dat uchovávaných systémy Linux činí platformu pro kyberzločince atraktivnější.
Pokud se FBI a NSA obávají, pak by živnostníci nebo malé firmy se systémem Linux měli začít platit více nyní věnujte pozornost bezpečnosti, pokud se chtějí vyhnout vedlejším škodám během budoucích útoků na větší organizace.
Tady jsou naše tipy pro ochranu před rostoucím seznamem malwaru Linux:
- Nespouštějte binární soubory ani skripty z neznámých zdrojů.
- Nainstalujte bezpečnostní software jako jsou antivirové programy a detektory rootkitů.
- Při instalaci programů pomocí příkazů jako curl buďte opatrní. Nespouštějte příkaz, dokud plně nepochopíte, co bude dělat, zde začněte s průzkumem příkazového řádku.
- Zjistěte, jak správně nastavit bránu firewall. Mělo by zaznamenávat veškerou aktivitu v síti, blokovat nepoužívané porty a obecně udržovat vaši expozici v síti na nezbytném minimu.
- Pravidelně aktualizujte svůj systém; nastavit automatické aktualizace zabezpečení.
- Zajistěte, aby se vaše aktualizace odesílaly prostřednictvím šifrovaných připojení.
- Chcete-li chránit klíče, povolte systém ověřování na základě klíčů pro SSH a heslo.
- Použijte dvoufaktorové ověřování (2FA) a ponechat klíče na externích zařízeních, jako je Yubikey.
- Zkontrolujte protokoly, zda neobsahují důkazy o útocích.
Od samého začátku je Linux zcela bezpečný, zvláště ve srovnání s jinými operačními systémy, jako jsou macOS nebo Windows. I přesto je dobré na tom stavět, počínaje těmito nástroji.
- Linux
- Linux
- Malware
Joe McCrossan je spisovatel na volné noze, dobrovolný technický poradce při potížích a amatérský opravář kol. Má rád Linux, open source a všechny druhy kouzelnických inovací.
Přihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!
Ještě jeden krok…!
V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.