記憶體安全週報第94期 | 針對Linux環境的惡意軟體正在增加，這六類手法應當注意

針對Linux環境的惡意軟體正在增加，這六類手法應當注意（5.30）

近年來，越來越多網路犯罪分子將目標對準了基於Linux的系統。根據VMware最近的一份報告，他們的目標通常是滲透企業和政府網路，獲取關鍵基礎設施。攻擊者利用易攻破的身份驗證、未修補的漏洞和伺服器錯誤配置等。

詳細情況

針對Linux的惡意軟體不僅越來越流行，而且變得更加多樣化。安全公司Intezer研究了惡意軟體程式碼後發現，與2020年相比，2021年大多數惡意軟體類別都有所增加，包括勒索軟體、銀行木馬和殭屍網路。根據一份報告，“針對Linux的惡意軟體增加可能與越來越多的組織轉向雲環境有關，而這些組織的運營依賴於Linux。”“Linux惡意軟體的創新水平接近於基於windows的惡意軟體。”

隨著Linux惡意軟體的不斷髮展，各類組織需要關注最常見的攻擊，並在每一步都加強安全。Cofense的首席威脅顧問Ronnie Tokazowski表示，雖然Linux可能比其他作業系統更安全，但需要注意的是，作業系統的安全程度取決於它最薄弱的環節。”

以下是針對Linux的六種攻擊型別：

1、勒索軟體以虛擬機器映象為目標：

近年來，勒索軟體團伙開始對準Linux環境。惡意軟體樣本的質量懸殊很大，但Conti、DarkSide、REvil和Hive等團伙正在迅速升級他們的技能。

通常，針對雲環境的勒索軟體攻擊都是經過精心策劃的。根據VMware公司的說法，網路罪犯在開始加密檔案之前，會嘗試完全攻破目標。

最近，RansomExx/Defray777和Conti等團伙開始瞄準虛擬化環境中用於工作負載的Linux主機映象。安全公司Trellix在一份報告中寫道:“開發專門用於加密虛擬機器及其管理環境的新二進位制程式是勒索軟體領域的一個常見主題。”

2、加密劫持正在興起：

加密劫持是最流行的Linux惡意軟體型別之一。首批引人注目的這類攻擊發生在2018年，受害者是特斯拉的公有云。

加密劫持越來越普遍，其中XMRig和Sysrv是最著名的加密器團伙。SonicWall的一份報告顯示，2021年的加密劫持嘗試攻擊次數比2020年增加了19%。、

Tokazowski表示，為了鎖定受害者，許多團伙使用預設密碼列表、bash漏洞，或故意針對安全性較低的錯誤配置系統的漏洞；其中一些錯誤配置可能包括路徑遍歷攻擊、遠端檔案包含攻擊，或者依賴於預設安裝的錯誤配置過程。”

3、惡意軟體團伙XorDDos, Mirai和Mozi將目標對準物聯網：

大多數物聯網都在Linux上執行，簡便的裝置可能會使它們成為潛在的受害者。CrowdStrike報告稱，與2020年相比，2021年針對Linux作業系統的惡意軟體數量增加了35%。XorDDoS、Mirai和Mozi三種惡意軟體團伙佔總數的22%。它們遵循同樣的模式，即感染裝置，將它們聚集到一個殭屍網路中，然後利用它們執行DDoS攻擊。

4、官方背景攻擊者目標是Linux環境：

安全研究人員發現官方背景的攻擊者越來越多地以Linux環境為目標。據Cyfirma報導，俄羅斯APT組織Sandworm據稱在攻擊開始前幾天攻擊了英國和美國機構的Linux系統。至於其他官方背景攻擊者，微軟和Mandiant注意到，多個由伊朗、朝鮮和其他國家支援的組織一直在利用Windows和Linux系統上的Log4j漏洞來訪問目標網路。

5、無檔案攻擊難以檢測：

美國AT&T公司的Alien Labs的安全研究人員發現，包括TeamTNT在內的多個參與者開始使用Ezuri，一個用Golang語言編寫的開源工具。攻擊者使用Ezuri加密惡意程式碼。在解密時，負載直接從記憶體執行，不會在磁碟上留下任何痕跡，這使得防毒軟體很難檢測到這些攻擊。與此技術相關的主要團隊TeamTNT針對配置不正確的Docker系統，目的是安裝DDoS bot和加密器。

6、Linux惡意軟體以Windows電腦為目標：

Linux惡意軟體還可以透過Windows子系統for Linux (WSL)攻擊Windows機器，這是Windows允許Linux二進位制檔案在Windows上本機執行的一個功能。

雲安全公司Qualys研究了使用WSL在Windows機器上實施攻擊或獲得永續性的可行性，分析了目前為止的兩種技術，代理執行和安裝實用程式，並得出結論，這兩種技術都是高度可行的。根據該公司的安全專家，想要防範這種型別的攻擊的組織可以禁用虛擬化和安裝WSL。它還有助於以一種持續的方式審計正在執行的程式。

攻擊者還將Windows工具的功能移植到Linux，以攻擊更多平臺。例如Vermilion Strike基於Windows滲透測試工具CobaltStrike，但可以用於針對Windows和Linux。Vermilion Strike為攻擊者提供遠端訪問功能，包括檔案操作和shell命令執行。該工具被用於攻擊電信公司、政府機構和金融機構，攻擊者的主要目的是進行間諜活動。

針對Linux環境的惡意軟體在消費裝置和伺服器、虛擬環境和專門的作業系統中蓬勃發展，企業組織應當全力採取必要措施保護所有的裝置。

參考連結

https://www.csoonline.com/article/3662151/linux-malware-is-on-the-rise-6-types-of-attacks-to-look-for.html#tk.rss_all?&web_view=true