Dens ry for sikkerhed betyder, at Linux ofte antages at være mindre sårbar over for de slags trusler, der regelmæssigt plager Microsoft Windows-systemer. Meget af den opfattede sikkerhed kommer fra det relativt lave antal Linux-systemer, men cyberkriminelle begynder at se værdi i at vælge kvalitet frem for kvantitet?
Linux-trusselslandskabet ændrer sig
Sikkerhedsforskere i virksomheder som Kaspersky og Blackberry sammen med føderale agenturer som FBI og NSA advarer om malwareforfattere, der øger deres fokus på Linux.
OS er nu anerkendt som en gateway til værdifulde data såsom forretningshemmeligheder, intellektuel ejendomsret og personalinformation. Linux-servere kan også bruges som et mellemstation for infektion af bredere netværk fulde af Windows-, macOS- og Android-enheder.
Selvom det ikke er operativsystemet, der kører på din stationære eller bærbare computer, vil dine data sandsynligvis blive udsat for Linux før eller senere. Din cloud storage, VPN og e-mail-udbydere såvel som din arbejdsgiver, sundhedsforsikringsselskab, offentlige tjenester eller universitet er næsten helt sikkert kører Linux som en del af deres netværk, og chancerne er, at du ejer eller vil eje en Linux-powered Internet Of Things (IoT) -enhed nu eller i fremtid.
Flere trusler er blevet afdækket i løbet af de sidste 12 måneder. Nogle er kendte Windows-malware, der er portet til Linux, mens andre har siddet uopdaget på servere i næsten et årti og viser, hvor meget sikkerhedsteam har undervurderet risikoen.
Mange systemadministratorer antager muligvis, at deres organisation ikke er vigtig nok til at være et mål. Men selvom dit netværk ikke er en stor præmie, kan dine leverandører eller kunder vise sig at være mere fristende, og at få adgang til dit system via et phishingangreb kan for eksempel være et første skridt til at infiltrere deres. Så det er værd at evaluere, hvordan du beskytter dit system.
Uanset om du mener, at Linux er det mest sikre OS, har alle operativsystemer risici og sårbarheder, der kan udnyttes. Sådan håndteres dem på Linux.
Linux Malware opdaget i 2020
Her er vores runde op af de trusler, der er blevet identificeret i løbet af det sidste år.
RansomEXX Trojan
Kaspersky-forskere afslørede i november, at denne trojan var blevet overført til Linux som en eksekverbar. Offeret sidder tilbage med filer krypteret med en 256-bit AES-chiffer og instruktioner om at kontakte malwareforfatterne for at gendanne deres data.
Windows-versionen angreb nogle vigtige mål i 2020, herunder Konica Minolta, Texas Department of Transport og det brasilianske retssystem.
RansomEXX er specifikt skræddersyet til hvert offer med organisationens navn inkluderet i både den krypterede filtypenavn og e-mail-adressen på løsesumnoten.
Gitpaste-12
Gitpaste-12 er en ny orm, der inficerer x86-servere og IoT-enheder, der kører Linux. Det får sit navn fra brugen af GitHub og Pastebin til at downloade kode og for dets 12 angrebsmetoder.
Ormen kan deaktivere AppArmor, SELinux, firewalls og andre forsvar samt installere en cryptocurrency minearbejder.
IPStorm
Kendt på Windows siden maj 2019, blev en ny version af dette botnet, der er i stand til at angribe Linux, opdaget i september. Det afvæbner Linux's morder uden for hukommelsen for at holde sig i gang og dræber sikkerhedsprocesser, der måske forhindrer det i at fungere.
Linux-udgaven leveres med ekstra funktioner såsom at bruge SSH til at finde mål, udnytte Steam-spiltjenester og gennemgå pornografiske websteder for at spoofe klik på reklamer.
Det har også en smag for at inficere Android-enheder, der er tilsluttet via Android Debug Bridge (ADB).
Drovorub
FBI og NSA fremhævede dette rootkit i en advarsel i august. Det kan unddrage sig administratorer og antivirussoftware, køre rodkommandoer og tillade hackere at uploade og downloade filer. Ifølge de to agenturer er Drovorub Fancy Bear, en gruppe hackere, der arbejder for den russiske regering.
Infektionen er svær at opdage, men opgradering til mindst 3.7-kernen og blokering af ikke-tillid til kernemoduler bør hjælpe med at undgå den.
Lucifer
Lucifers ondsindede kryptomining og distribuerede denial of service-bot dukkede først op på Windows i juni og på Linux i august. Lucifers Linux-inkarnation tillader HTTP-baserede DDoS-angreb såvel som over TCP, UCP og ICMP.
Penquin_x64
Denne nye stamme af malware-familien Turla Penquin blev afsløret af forskere i maj. Det er en bagdør, der gør det muligt for angribere at opfange netværkstrafik og køre kommandoer uden at få rod.
Kaspersky fandt udnyttelsen kørende på snesevis af servere i USA og Europa i juli.
Doki
Doki er et bagdørværktøj, der primært retter sig mod dårligt opsatte Docker-servere til at installere krypto minearbejdere.
Mens malware normalt kontakter forudbestemte IP-adresser eller URL'er for at modtage instruktioner, har Dokis skabere oprettet et dynamisk system, der bruger Dogecoin crypto blockchain API. Dette gør det vanskeligt at fjerne kommandoinfrastrukturen, da malwareoperatørerne kan ændre kontrolserveren med kun en Dogecoin-transaktion.
For at undgå Doki skal du sikre dig, at din Docker-styringsgrænseflade er korrekt konfigureret.
TrickBot
TrickBot er en banktrojan, der bruges til ransomware-angreb og identitetstyveri, som også har skiftet fra Windows til Linux. Anchor_DNS, et af de værktøjer, der bruges af gruppen bag TrickBot, dukkede op i en Linux-variation i juli.
Anchor_Linux fungerer som en bagdør og spredes normalt via zip-filer. Malwaren opretter en cron opgave og kontakter en kontrolserver via DNS-forespørgsler.
Relaterede: Sådan finder du en phishing-e-mail
Tycoon
Tycoon Trojan spredes normalt som et kompromitteret Java Runtime-miljø inde i et zip-arkiv. Forskere opdagede det i juni, der kørte på både Windows- og Linux-systemer fra små til mellemstore virksomheder samt uddannelsesinstitutioner. Det krypterer filer og kræver løsesumbetalinger.
Cloud Snooper
Denne rootkit kaprer Netfilter for at skjule kommandoer og datatyveri blandt normal webtrafik for at omgå firewalls.
Systemet blev først identificeret i Amazon Web Services-skyen i februar og kan bruges til at kontrollere malware på enhver server bag enhver firewall.
PowerGhost
Også i februar opdagede forskere ved Trend Micro, at PowerGhost havde taget springet fra Windows til Linux. Dette er en fileløs cryptocurrency-minearbejder, der kan bremse dit system og nedbryde hardware gennem øget slitage.
Linux-versionen kan afinstallere eller dræbe anti-malware-produkter og forbliver aktiv ved hjælp af en cron-opgave. Det kan installere anden malware, få rootadgang og spredes gennem netværk ved hjælp af SSH.
FritzFrog
Siden dette peer-to-peer (P2P) botnet først blev identificeret i januar 2020, er der fundet 20 flere versioner. Ofre inkluderer regeringer, universiteter, medicinske centre og banker.
Fritzfrog er fileløs malware, en type trussel, der lever i RAM snarere end på din harddisk og udnytter sårbarheder i eksisterende software til at udføre sit arbejde. I stedet for servere bruger den P2P til at sende krypteret SSH-kommunikation til at koordinere angreb på tværs af forskellige maskiner, opdatere sig selv og sikre, at arbejdet spredes jævnt over hele netværket.
Selvom det er fileless, skaber Fritzfrog en bagdør ved hjælp af en offentlig SSH-nøgle for at give adgang i fremtiden. Loginoplysninger til kompromitterede maskiner gemmes derefter over hele netværket.
Stærke adgangskoder og godkendelse af offentlig nøgle giver beskyttelse mod dette angreb. Det er også en god ide at ændre din SSH-port eller deaktivere SSH-adgang, hvis du ikke bruger den.
FinSpy
FinFisher sælger FinSpy, der er forbundet med spionage på journalister og aktivister, som en overvågningsløsning til regeringer. Tidligere set på Windows og Android afslørede Amnesty International en Linux-version af malware i november 2019.
FinSpy tillader aflytning af trafik, adgang til private data og optagelse af video og lyd fra inficerede enheder.
Det blev offentligt opmærksomt i 2011, da demonstranter fandt en kontrakt om køb af FinSpy på kontorer for den brutale egyptiske sikkerhedstjeneste efter præsident Mubaraks styrt.
Er det tid for Linux-brugere at begynde at tage sikkerhed alvorligt?
Mens Linux-brugere muligvis ikke er så sårbare over for så mange sikkerhedstrusler som Windows-brugere, er der ingen tvivl værdien og mængden af data, som Linux-systemer besidder, gør platformen mere attraktiv for cyberkriminelle.
Hvis FBI og NSA er bekymrede, så bør enkelthandlere eller små virksomheder, der driver Linux, begynde at betale mere opmærksomhed på sikkerhed nu, hvis de vil undgå at blive sikkerhedsskade under fremtidige angreb på større organisationer.
Her er vores Tips for at beskytte dig selv fra den voksende liste over Linux-malware:
- Kør ikke binære filer eller scripts fra ukendte kilder.
- Installer sikkerhedssoftware såsom antivirusprogrammer og rootkit-detektorer.
- Vær forsigtig, når du installerer programmer ved hjælp af kommandoer som curl. Kør ikke kommandoen, før du fuldt ud forstår, hvad den skal gøre, start din kommandolinjeforskning her.
- Lær, hvordan du konfigurerer din firewall korrekt. Det skal logge al netværksaktivitet, blokere ubrugte porte og generelt holde din eksponering for netværket til det nødvendige minimum.
- Opdater dit system regelmæssigt; indstil sikkerhedsopdateringer, der skal installeres automatisk.
- Sørg for, at dine opdateringer sendes via krypterede forbindelser.
- Aktivér et nøglebaseret godkendelsessystem til SSH og adgangskode for at beskytte nøglerne.
- Brug tofaktorautentificering (2FA) og opbevar nøgler på eksterne enheder såsom en Yubikey.
- Kontroller logfiler for bevis for angreb.
Fra starten er Linux ret sikkert, især når man sammenligner med andre operativsystemer som macOS eller Windows. Alligevel er det godt at bygge videre på det, begyndende med disse værktøjer.
- Linux
- Linux
- Malware
Joe McCrossan er freelance skribent, frivillig tech-shooter og amatørcykelværksted. Han kan godt lide Linux, open source og alle former for troldmandsinnovation.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft venligst din e-mail-adresse i den e-mail, vi lige har sendt dig.
