Dens rykte for sikkerhet betyr at Linux ofte antas å være mindre sårbar for de slags trusler som regelmessig plager Microsoft Windows-systemer. Mye av den opplevde sikkerheten kommer fra det relativt lave antallet Linux-systemer, men nettkriminelle begynner å se verdien i å velge kvalitet over kvantitet?
Linux Threat Landscape er i endring
Sikkerhetsforskere ved selskaper som Kaspersky og Blackberry, sammen med føderale byråer som FBI og NSA advarer mot forfattere av skadelig programvare som øker fokuset på Linux.
OS er nå anerkjent som en inngangsport til verdifulle data som forretningshemmeligheter, immateriell eiendom og personellinformasjon. Linux-servere kan også brukes som et mellomrom for infeksjon av bredere nettverk fulle av Windows-, macOS- og Android-enheter.
Selv om det ikke er operativsystemet som kjører på din stasjonære eller bærbare datamaskin, vil dataene dine sannsynligvis bli utsatt for Linux før eller senere. Skylagring, VPN og e-postleverandører, i tillegg til din arbeidsgiver, helseforsikringsselskap, offentlige tjenester eller universitet, er nesten helt sikkert kjører Linux som en del av deres nettverk, og sjansen er stor for at du eier eller vil eie en Linux-drevet Internet Of Things (IoT) -enhet nå eller i framtid.
Flere trusler har blitt avdekket de siste 12 månedene. Noen er kjent Windows-malware som er portet til Linux, mens andre har sittet uoppdaget på servere i nesten et tiår, og viser hvor mye sikkerhetsteam har undervurdert risikoen.
Mange systemadministratorer kan anta at organisasjonen ikke er viktig nok til å være et mål. Imidlertid, selv om nettverket ikke er en stor premie, kan leverandørene eller kundene dine være mer fristende, og å få tilgang til systemet ditt, for eksempel via et phishing-angrep, kan være et første skritt for å infiltrere deres. Så det er verdt å evaluere hvordan du beskytter systemet ditt.
Uansett om du mener Linux er det sikreste operativsystemet, har alle operativsystemer risiko og sårbarheter som kan utnyttes. Slik håndterer du dem på Linux.
Linux skadelig programvare oppdaget i 2020
Her er vår avrunding av truslene som er identifisert det siste året.
RansomEXX Trojan
Kaspersky-forskere avslørte i november at denne trojanen ble portet til Linux som en kjørbar. Offeret sitter igjen med filer kryptert med en 256-biters AES-kryptering og instruksjoner om hvordan du kontakter malwareforfatterne for å gjenopprette dataene.
Windows-versjonen angrep noen viktige mål i 2020, inkludert Konica Minolta, Texas Department of Transport og det brasilianske rettssystemet.
RansomEXX er spesielt skreddersydd for hvert offer, med navnet på organisasjonen inkludert i både den krypterte filtypen og e-postadressen på løsepenger.
Gitpaste-12
Gitpaste-12 er en ny orm som infiserer x86-servere og IoT-enheter som kjører Linux. Det får navnet sitt fra bruken av GitHub og Pastebin for å laste ned kode, og for sine 12 angrepsmetoder.
Ormen kan deaktivere AppArmor, SELinux, brannmurer og annet forsvar, samt installere en kryptovaluta-gruver.
IPStorm
Kjent på Windows siden mai 2019, ble en ny versjon av dette botnet som kan angripe Linux oppdaget i september. Det avvæpner Linuxs mordere uten minne for å holde seg i gang og dreper sikkerhetsprosesser som kan hindre den i å fungere.
Linux-utgaven leveres med ekstra funksjoner som å bruke SSH for å finne mål, utnytte Steam-spilltjenester og gjennomsøke pornografiske nettsteder for å forfalske klikk på annonser.
Det har også en smak for å infisere Android-enheter som er koblet til via Android Debug Bridge (ADB).
Drovorub
FBI og NSA fremhevet dette rootkit i en advarsel i august. Det kan unngå administratorer og antivirusprogramvare, kjøre rotkommandoer og tillate hackere å laste opp og laste ned filer. Ifølge de to byråene er Drovorub arbeidet til Fancy Bear, en gruppe hackere som jobber for den russiske regjeringen.
Infeksjonen er vanskelig å oppdage, men oppgradering til minst 3.7-kjernen og blokkering av ikke-klarerte kjernemoduler bør bidra til å unngå den.
Lucifer
Lucifers ondsinnede kryptodrift og distribuerte denial of service-bot dukket først opp på Windows i juni og på Linux i august. Lucifers Linux-inkarnasjon tillater HTTP-baserte DDoS-angrep så vel som over TCP, UCP og ICMP.
Penquin_x64
Denne nye stammen av Turla Penquin-familien av skadelig programvare ble avslørt av forskere i mai. Det er en bakdør som lar angripere avlytte nettverkstrafikk og kjøre kommandoer uten å anskaffe rot.
Kaspersky fant utnyttelsen som kjører på dusinvis av servere i USA og Europa i juli.
Doki
Doki er et bakdørverktøy som hovedsakelig retter seg mot dårlig konfigurerte Docker-servere for å installere kryptominnearbeidere.
Mens malware vanligvis kontakter forhåndsbestemte IP-adresser eller URL-er for å motta instruksjoner, har Dokis skapere satt opp et dynamisk system som bruker Dogecoin crypto blockchain API. Dette gjør det vanskelig å ta ned kommandoinfrastrukturen ettersom malwareoperatørene kan endre kontrollserveren med bare en Dogecoin-transaksjon.
For å unngå Doki, bør du sørge for at Docker-administrasjonsgrensesnittet er riktig konfigurert.
TrickBot
TrickBot er en banktrojan, brukt til ransomware-angrep og identitetstyveri, som også har gjort overgangen fra Windows til Linux. Anchor_DNS, et av verktøyene som brukes av gruppen bak TrickBot, dukket opp i en Linux-variant i juli.
Anchor_Linux fungerer som en bakdør og spres vanligvis via zip-filer. Skadelig programvare setter opp en cron oppgave og kontakter en kontrollserver via DNS-spørsmål.
I slekt: Hvordan få øye på en phishing-e-post
Tycoon
Tycoon Trojan spres vanligvis som et kompromittert Java Runtime-miljø inne i et zip-arkiv. Forskere oppdaget at det kjørte på både Windows- og Linux-systemene til små og mellomstore bedrifter samt utdanningsinstitusjoner. Den krypterer filer og krever løsepenger.
Cloud Snooper
Dette rootkit kaprer Netfilter for å skjule kommandoer og datatyveri blant vanlig nettrafikk for å omgå brannmurer.
Systemet ble først identifisert på Amazon Web Services-skyen i februar, og kan brukes til å kontrollere skadelig programvare på en hvilken som helst server bak hvilken som helst brannmur.
PowerGhost
Også i februar oppdaget forskere ved Trend Micro at PowerGhost hadde gjort spranget fra Windows til Linux. Dette er en fileløs kryptokurver som kan redusere systemet ditt og degradere maskinvare gjennom økt slitasje.
Linux-versjonen kan avinstallere eller drepe anti-malware-produkter og forblir aktiv ved hjelp av en cron-oppgave. Den kan installere annen skadelig programvare, få rottilgang og spre seg gjennom nettverk ved hjelp av SSH.
FritzFrog
Siden dette peer-to-peer (P2P) botnet først ble identifisert i januar 2020, har 20 flere versjoner blitt funnet. Ofre inkluderer regjeringer, universiteter, medisinske sentre og banker.
Fritzfrog er fileløs skadelig programvare, en type trussel som lever i RAM i stedet for på harddisken din og utnytter sårbarheter i eksisterende programvare for å gjøre sitt. I stedet for servere bruker den P2P til å sende kryptert SSH-kommunikasjon for å koordinere angrep på tvers av forskjellige maskiner, oppdatere seg selv og sikre at arbeidet blir spredt jevnt over hele nettverket.
Selv om det er fileløst, skaper Fritzfrog en bakdør ved å bruke en offentlig SSH-nøkkel for å gi tilgang i fremtiden. Påloggingsinformasjon for kompromitterte maskiner lagres deretter over hele nettverket.
Sterke passord og autentisering av offentlig nøkkel gir beskyttelse mot dette angrepet. Å endre SSH-porten eller slå av SSH-tilgang hvis du ikke bruker den, er også en god ide.
FinSpy
FinFisher selger FinSpy, assosiert med å spionere på journalister og aktivister, som en hylleovervåkningsløsning for regjeringer. Tidligere sett på Windows og Android, avslørte Amnesty International en Linux-versjon av skadelig programvare i november 2019.
FinSpy tillater avlytting av trafikk, tilgang til private data og opptak av video og lyd fra infiserte enheter.
Det ble offentlig bevissthet i 2011 da demonstranter fant en kontrakt for kjøp av FinSpy på kontorene til den brutale egyptiske sikkerhetstjenesten etter at president Mubarak ble styrtet.
Er det på tide at Linux-brukere begynner å ta sikkerhet på alvor?
Mens Linux-brukere kanskje ikke er så sårbare for så mange sikkerhetstrusler som Windows-brukere, er det ingen tvil verdien og volumet av data som Linux-systemer har, gjør plattformen mer attraktiv for nettkriminelle.
Hvis FBI og NSA er bekymret, bør enkelthandlere eller småbedrifter som driver Linux begynne å betale mer oppmerksomhet mot sikkerhet nå hvis de vil unngå å bli sikkerhetsskade under fremtidige angrep på større organisasjoner.
Her er vår Tips for å beskytte deg mot den voksende listen over Linux-skadelig programvare:
- Ikke kjør binærfiler eller skript fra ukjente kilder.
- Installer sikkerhetsprogramvare som antivirusprogrammer og rootkit-detektorer.
- Vær forsiktig når du installerer programmer som bruker kommandoer som curl. Ikke kjør kommandoen før du helt forstår hva den skal gjøre, start kommandolinjeforskningen din her.
- Lær hvordan du konfigurerer brannmuren riktig. Den skal logge all nettverksaktivitet, blokkere ubrukte porter, og generelt holde eksponeringen for nettverket til det minste nødvendige.
- Oppdater systemet regelmessig; angi at sikkerhetsoppdateringer skal installeres automatisk.
- Forsikre deg om at oppdateringene dine blir sendt over krypterte tilkoblinger.
- Aktiver et nøkkelbasert autentiseringssystem for SSH og passord for å beskytte nøklene.
- Bruk tofaktorautentisering (2FA) og hold nøklene på eksterne enheter som en Yubikey.
- Sjekk loggene for bevis på angrep.
Fra starten er Linux ganske sikkert, spesielt sammenlignet med andre operativsystemer som macOS eller Windows. Allikevel er det godt å bygge på det, og starte med disse verktøyene.
- Linux
- Linux
- Skadevare
Joe McCrossan er frilansskribent, frivillig teknisk problemskytter og amatørsykkelreparatør. Han liker Linux, åpen kildekode og alle slags trollmannsinnovasjoner.
Abonner på vårt nyhetsbrev
Bli med på vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.
