新闻中心 > 新闻详情

内存安全周报第94期 | 针对Linux环境的恶意软件正在增加,这六类手法应当注意

2022 年 6 月 7 日

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

针对Linux环境的恶意软件正在增加,这六类手法应当注意(5.30)

近年来,越来越多网络犯罪分子将目标对准了基于Linux的系统。根据VMware最近的一份报告,他们的目标通常是渗透企业和政府网络,获取关键基础设施。攻击者利用易攻破的身份验证、未修补的漏洞和服务器错误配置等。

详细情况

针对Linux的恶意软件不仅越来越流行,而且变得更加多样化。安全公司Intezer研究了恶意软件代码后发现,与2020年相比,2021年大多数恶意软件类别都有所增加,包括勒索软件、银行木马和僵尸网络。根据一份报告,“针对Linux的恶意软件增加可能与越来越多的组织转向云环境有关,而这些组织的运营依赖于Linux。”“Linux恶意软件的创新水平接近于基于windows的恶意软件。”

随着Linux恶意软件的不断发展,各类组织需要关注最常见的攻击,并在每一步都加强安全。Cofense的首席威胁顾问Ronnie Tokazowski表示,虽然Linux可能比其他操作系统更安全,但需要注意的是,操作系统的安全程度取决于它最薄弱的环节。”

以下是针对Linux的六种攻击类型:

1. 勒索软件以虚拟机镜像为目标

近年来,勒索软件团伙开始对准Linux环境。恶意软件样本的质量悬殊很大,但Conti、DarkSide、REvil和Hive等团伙正在迅速升级他们的技能。

通常,针对云环境的勒索软件攻击都是经过精心策划的。根据VMware公司的说法,网络罪犯在开始加密文件之前,会尝试完全攻破目标。

最近,RansomExx/Defray777和Conti等团伙开始瞄准虚拟化环境中用于工作负载的Linux主机镜像。安全公司Trellix在一份报告中写道:“开发专门用于加密虚拟机及其管理环境的新二进制程序是勒索软件领域的一个常见主题。”

2. 加密劫持正在兴起

加密劫持是最流行的Linux恶意软件类型之一。首批引人注目的这类攻击发生在2018年,受害者是特斯拉的公有云。

加密劫持越来越普遍,其中XMRig和Sysrv是最著名的加密器团伙。SonicWall的一份报告显示,2021年的加密劫持尝试攻击次数比2020年增加了19%。

Tokazowski表示,为了锁定受害者,许多团伙使用默认密码列表、bash漏洞,或故意针对安全性较低的错误配置系统的漏洞;其中一些错误配置可能包括路径遍历攻击、远程文件包含攻击,或者依赖于默认安装的错误配置过程。”

3.恶意软件团伙XorDDos, Mirai和Mozi将目标对准物联网

大多数物联网都在Linux上运行,简便的设备可能会使它们成为潜在的受害者。CrowdStrike报告称,与2020年相比,2021年针对Linux操作系统的恶意软件数量增加了35%。XorDDoS、Mirai和Mozi三种恶意软件团伙占总数的22%。它们遵循同样的模式,即感染设备,将它们聚集到一个僵尸网络中,然后利用它们执行DDoS攻击。

4. 官方背景攻击者目标是Linux环境

安全研究人员发现官方背景的攻击者越来越多地以Linux环境为目标。据Cyfirma报道,俄罗斯APT组织Sandworm据称在攻击开始前几天攻击了英国和美国机构的Linux系统。至于其他官方背景攻击者,微软和Mandiant注意到,多个由伊朗、朝鲜和其他国家支持的组织一直在利用Windows和Linux系统上的Log4j漏洞来访问目标网络。

5. 无文件攻击难以检测

美国AT&T公司的Alien Labs的安全研究人员发现,包括TeamTNT在内的多个参与者开始使用Ezuri,一个用Golang语言编写的开源工具。攻击者使用Ezuri加密恶意代码。在解密时,负载直接从内存执行,不会在磁盘上留下任何痕迹,这使得杀毒软件很难检测到这些攻击。与此技术相关的主要团队TeamTNT针对配置不正确的Docker系统,目的是安装DDoS bot和加密器。

6. Linux恶意软件以Windows电脑为目标

Linux恶意软件还可以通过Windows子系统for Linux (WSL)攻击Windows机器,这是Windows允许Linux二进制文件在Windows上本机运行的一个功能。

云安全公司Qualys研究了使用WSL在Windows机器上实施攻击或获得持久性的可行性,分析了目前为止的两种技术,代理执行和安装实用程序,并得出结论,这两种技术都是高度可行的。根据该公司的安全专家,想要防范这种类型的攻击的组织可以禁用虚拟化和安装WSL。它还有助于以一种持续的方式审计正在运行的进程。

攻击者还将Windows工具的功能移植到Linux,以攻击更多平台。例如Vermilion Strike基于Windows渗透测试工具CobaltStrike,但可以用于针对Windows和Linux。Vermilion Strike为攻击者提供远程访问功能,包括文件操作和shell命令执行。该工具被用于攻击电信公司、政府机构和金融机构,攻击者的主要目的是进行间谍活动。

针对Linux环境的恶意软件在消费设备和服务器、虚拟环境和专门的操作系统中蓬勃发展,企业组织应当全力采取必要措施保护所有的设备。

参考链接

https://www.csoonline.com/article/3662151/linux-malware-is-on-the-rise-6-types-of-attacks-to-look-for.html#tk.rss_all?&web_view=true

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24