Linux 系統是一個令人垂涎的目標。它是眾多應用程序后端和服務器的主機操作系統，并支持各種物聯網 (IoT) 設備。然而，對基于該系統運行的設備而言，其保護工作仍做得不夠。

“Linux 系統惡意軟件一直被嚴重忽視，”VMware 公司安全威脅情報業務高級主管喬瓦尼?維格納 (Giovanni Vigna) 說。“由于大多數云主機運行 Linux 系統，因此，破壞基于 Linux 系統的平臺，可使攻擊者訪問大量資源或通過勒索軟件和 wiper 惡意軟件造成重大破壞。”

近年來，網絡犯罪分子和民族國家的攻擊者已將目標對準了基于 Linux 的系統。根據 VMware 公司最近的一份報告，其入侵的目標通常是企業和政府網絡，或獲取進入關鍵基礎設施的訪問權限。他們充分利用了薄弱的身份驗證、未修補的漏洞和服務器的錯誤配置等因素。

Linux 系統惡意軟件不僅變得越來越普遍，而且越來越多樣化。Intezer 安全公司研究了各種惡意軟件的代碼獨特性，以了解開發者的創新程度。該公司發現，與 2020 年相比，2021 年大多數類別的惡意軟件的創新程度都有所增加，包括勒索軟件、銀行木馬程序和僵尸網絡。據一份報告稱：“針對 Linux 系統的惡意軟件創新程度的提升可能與各組織機構越來越多地轉向使用云環境有關，而這些環境常常依賴 Linux 系統運行。”“Linux 系統惡意軟件的創新程度接近基于 Windows 系統惡意軟件的水平。”

隨著 Linux 系統惡意軟件的不斷發展，各組織機構需要關注最常見的攻擊，并要始終對每一環節加強安全性。 “盡管 Linux 系統可能比其他操作系統更安全，但需要注意的是，一個操作系統的安全性取決于其最薄弱的環節，”Cofense 公司首席安全威脅顧問羅尼?托卡佐夫斯基 (Ronnie Tokazowski) 說。

以下是針對 Linux 系統的六類攻擊，需要注意：

1、勒索軟件是以虛擬機映像為目標

近年來，勒索軟件團伙開始窺探 Linux 系統環境。惡意軟件樣本的質量存在很大差異，但 Conti、DarkSide、REvil 和 Hive 等團伙正在迅速提升自己的技能。

通常，針對云環境的勒索軟件攻擊是經過精心策劃的。VMware 公司表示，網絡犯罪分子在開始加密文件之前，會嘗試使受害者的系統完全癱瘓。

最近，RansomExx/Defray777 和 Conti 等團伙開始以虛擬環境中用于處理工作負載的 Linux 系統主機映像為目標。“這一令人擔憂的新發展趨勢表明，攻擊者如何在云環境中尋找最有價值的資產，以造成最大的破壞。”VMware 公司在報告中寫道。

對托管在 ESXi Hypervisor 上的虛擬機映像進行加密，這對這些團伙而言尤其具有吸引力，因為他們知道自己會對系統運行產生巨大影響。Trellix 安全公司的一份報告稱，“勒索軟件領域的一個常見主題就是開發專門用于加密虛擬機及其管理環境的新二進制程序”。

2、加密劫持正呈上升趨勢

加密劫持是最常見的一類 Linux 系統惡意軟件，因為它可以快速賺錢。托卡佐夫斯基說：“該軟件的目的是利用計算資源為攻擊者生成加密貨幣。”通常是門羅幣。

第一次被人們所關注的攻擊事件發生在 2018 年，當時特斯拉公司的公有云成為受害者。據 RedLock 云監控公司稱，“該黑客侵入了特斯拉公司的 Kubernetes 控制臺，該控制臺沒有設置密碼保護。”“在 Kubernetes 的一個單元中，訪問權限憑證暴露在特斯拉公司的亞馬遜網絡服務 (AWS) 環境中，其中包含一個 Amazon S3(亞馬遜簡單存儲服務)存儲桶，而該存儲桶中含有遙感監測等敏感數據。”

加密劫持已變得越來越普遍，其中 XMRig 和 Sysrv 已成為最知名的加密礦工軟件。SonicWall 公司的一份報告顯示，與 2020 年相比，2021 年的攻擊次數增加了 19%。“對于政府和醫療領域的客戶而言，這一增幅達到了三位數，即加密劫持次數分別增長了 709% 和 218%。”該報告稱。這家安全公司的統計數據顯示，每個客戶網絡平均受到 338 次加密劫持攻擊。

托卡佐夫斯基表示，為了鎖定受害者，許多團伙使用默認密碼列表、利用 bash 漏洞，或故意鎖定并利用那些安全性較低且配置錯誤的系統漏洞。“其中一些錯誤配置可能涉及到目錄遍歷攻擊、遠程文件包含攻擊，或者利用默認安裝的錯誤配置過程。”他說。

3、三類惡意軟件(XorDDoS、Mirai 和 Mozi)是以物聯網為目標

物聯網是基于 Linux 系統運行的，幾乎沒有例外，這些設備的簡單性使其很容易成為潛在的受害者。CrowdStrike 公司的報告稱，與 2020 年相比，2021 年針對在 Linux 系統上運行的小工具的惡意軟件數量增加了 35%。這三類惡意軟件占總數的 22%：XorDDoS、Mirai 和 Mozi。這些惡意軟件遵循相同的模式，即感染設備，將這些設備聚集到僵尸網絡中，然后利用這些設備執行 DDoS 攻擊。

Mirai 是一種 Linux 系統木馬，其利用 Telnet 和安全外殼 (SSH) 暴力破解攻擊來破壞設備，被視為許多 Linux 系統 DDoS 惡意軟件的共同祖先。當其源代碼在 2016 年公開后，便出現了多個不同版本。此外，惡意軟件作者從Mirai木馬中吸取了經驗，并將其功能應用到自己的木馬程序中。

CrowdStrike 公司注意到，與 2021 年第一季度相比，2022 年第一季度針對英特爾的 Linux 系統所編譯的不同版本 Mirai 惡意軟件數量增加了一倍以上，其中針對 32 位 x86 處理器的不同版本數量增加最多。該報告稱：“Mirai 變體木馬不斷發展，以利用未修補的漏洞來擴大其攻擊范圍。”

另一個流行的 Linux 系統木馬是 XorDDoS。微軟公司發現，這一威脅在過去六個月中上升了 254%。XorDDoS 木馬利用針對 ARM、x86 和 x64 Linux 系統架構所編譯的自身變體來增加成功感染目標系統的可能性。與 Mirai 木馬一樣，XorDDoS 木馬也使用蠻力攻擊來獲取其目標的訪問權限，一旦進入后，它會掃描端口 2375 處于開放狀態的 Docker 服務器，以獲得對主機的遠程根目錄訪問權限，而無需輸入密碼。

Mozi 惡意軟件會以某種類似的方式來破壞其目標，同時為了防止其他惡意軟件取代自己的位置，會阻塞 SSH 和 Telnet 端口。它會創建一個點對點的僵尸網絡，并會使用分布式哈希表 (DHT) 系統將其與指揮和控制服務器之間的通信隱藏在合法的 DHT 流量背后。

根據 Fortinet 公司的《全球安全威脅狀況報告》(Global Threat Landscape Report)，最成功的僵尸網絡活動隨著時間的推移始終在持續進行。這家安全公司發現，惡意軟件作者投入了大量精力來確保其感染狀態能持續存在，這意味著重新啟動設備也不會解除黑客對受感染系統的控制。

4、國家發起的攻擊行為是以 Linux 系統環境為目標

監視民族國家團體的安全研究人員注意到，這些團體越來越多地以 Linux 系統環境為目標。Intezer 公司的安全研究員瑞安?羅賓遜 (Ryan Robinson) 說：“隨著俄烏戰爭的爆發，已有很多 Linux 系統惡意軟件被攻擊者使用，包括 wiper。”據 Cyfirma 網絡安全公司稱，在戰爭開始之前的幾天，俄羅斯 APT 組織 Sandworm 就攻擊了英國和美國機構的 Linux 系統。

ESET 是密切關注這場沖突及其網絡安全影響的公司之一。“一個月前，我們一直在研究 Industroyer2 惡意軟件，其被用于攻擊一家烏克蘭能源供應商。”ESET 公司高級惡意軟件研究員 Marc-étienne Léveillé 說。“這次攻擊包括使用 SSH 來傳播 Linux 和 Solaris 系統蠕蟲，還可能涉及竊取憑據。這是一次非常有針對性的攻擊，其目標顯然是為了破壞數據庫和文件系統的數據。”

根據 ESET 公司的報告，Linux 系統 wiper 惡意軟件“可通過使用 shred 命令(如果可用的話)或只是使用 dd 命令(和 if=/dev/random)來破壞連接到該系統的磁盤的全部內容”。“如果連接了多個磁盤，則數據刪除過程會并行進行，以加快速度。”ESET 公司將該惡意軟件歸咎于 Sandstorm APT 組織，該組織曾在 2016 年利用 Industroyer 惡意軟件切斷烏克蘭的電力。

至于其他民族國家攻擊者，微軟和 Mandiant 公司注意到，由國家支持的多個團體一直在利用 Windows 和 Linux 系統上知名的 Log4j 漏洞來獲取其目標網絡的訪問權限。

5、無文件攻擊難以被偵測

美國電話電報公司 (AT&T) Alien Labs 實驗室的安全研究人員發現，包括 TeamTNT 團體在內的多個攻擊參與者已開始使用 Ezuri，這是一款用 Golang 語言編寫的開源工具。攻擊者使用 Ezuri 來加密惡意代碼。在解密時，其工作負載直接在內存中執行，而不會在磁盤上留下任何痕跡，這使得這些攻擊行為很難被殺毒軟件檢測到。

與此技術相關的主要團體 TeamTNT 是以未正確配置的 Docker 系統為目標，其目的是安裝 DDoS 機器人和加密礦工。

6、Linux 系統惡意軟件以 Windows 系統設備為目標

Linux 系統惡意軟件還可以通過適用于 Linux 的 Windows 子系統 (WSL) 來利用 Windows 系統設備，WSL 是 Windows 系統的一個功能，允許 Linux 系統二進制文件在 Windows 操作系統上本地運行。WSL 必須手動安裝或通過加入 Windows Insider 計劃來安裝，但如果攻擊者擁有更高的訪問權限，則可以安裝該功能。

Qualys 云安全公司研究了利用 WSL 功能在 Windows 系統設備上進行攻擊或擁有持續性的可行性。到目前為止，該公司分析了兩種技術(即代理執行和安裝實用程序)，并得出結論認為，這兩種技術都是高度可行的。據該公司的安全專家稱，想要防范此類攻擊的組織機構可以禁用虛擬化和禁止安裝 WSL 功能。這還有助于持續檢查正在運行的進程。

攻擊者還將 Windows 系統工具的功能移植到 Linux 系統，旨在以更多的平臺為目標。一個例子是 Vermilion Strike，它是基于 CobaltStrike(一款流行的 Windows 系統滲透測試工具)開發的，但也適用于 Windows 和 Linux 系統。Vermilion Strike 工具可為攻擊者提供遠程訪問功能，包括文件處理和 shell 命令執行。該工具被用于攻擊電信公司、政府機構和金融機構，攻擊者的主要目的是進行間諜活動。

Intezer 公司的研究人員在其報告中稱，“Vermilion Strike 工具不可能是CobaltStrike Beacon 最后一個針對 Linux 系統的工具”。

防范針對 Linux 系統環境的惡意軟件

當系統管理員和開發人員與時間和最后期限爭分奪秒時，安全性就成為最薄弱的環節。例如，開發人員可能會盲目地相信來自社區的代碼;他們從 Stack Overflow 中復制/粘貼代碼，在克隆一個 GitHub 庫后快速運行軟件，或者將 Docker Hub 中的應用程序直接部署到自己的生產環境中。

機會主義攻擊者會利用這種“注意力經濟”。他們會將加密礦工添加到 Docker 容器中，或創建與頻繁使用的庫名稱幾乎相同的開源包，以及利用部分開發人員偶爾出現的拼寫錯誤。

“利用開放部署的 Docker 和 Kubernetes，這是非常有吸引力的：粗心的人會將他們部署的容器向外界開放，從而使這些系統很容易被別人利用，并用作后續攻擊或從事其他貨幣化活動(例如門羅幣挖礦)的橋頭堡。”VMware 公司的維格納說。

“我是開源軟件和文化的熱心傳播者和倡導者，但真正讓我感到不安的一件事是公共軟件庫中涉及的信任鏈的脆弱性。”Nucleus Security 公司漏洞研究工程師瑞安?克里貝拉爾 (Ryan Cribelar) 說。“當然，這不是 Linux 系統特有的問題，例如，潛藏在 PyPi 或 NPM 庫中的惡意庫無疑會導致 Linux 系統管理員和安全團隊最難以入眠。”

對于 Linux 系統服務器而言，配置錯誤也是一個大問題，這可能發生在基礎設施中的多個位置。“通常，防火墻或安全組被錯誤設置，可使訪問權限擴至更大的互聯網范圍，從而使外部訪問權限能夠在 Linux 系統服務器上部署應用程序。”Intezer 公司的羅賓遜說。

應用程序常常被錯誤配置，從而使用戶在沒有身份驗證或使用默認憑據的情況下進行訪問。“根據錯誤配置的應用程序不同，攻擊者將能夠竊取信息或在 Linux 服務器上運行惡意代碼。”羅賓遜補充道。“常見的例子包括錯誤配置的 Docker 守護進程，這可以讓攻擊者能夠運行他們自己的容器，或錯誤配置的應用程序(例如 Apache Airflow 工具)導致泄露密碼和客戶信息。”羅賓遜補充說，默認配置通常不等同于安全配置。

CrowdStrike 公司惡意軟件研究高級總監喬爾·斯珀洛克 (Joel Spurlock) 看到的另一個問題是打補丁。他認為，各組織機構“要么沒有或不愿意讓設備保持最新版本”。應該定期打補丁，而且像 EDR 和零信任這樣的流行語也應該出現在你的字典里。

針對 Linux 系統環境的惡意軟件在消費設備和服務器、虛擬環境和專用操作系統各領域中快速發展，因此，保護所有這些領域的一些必要安全措施需要重點關注和精心規劃。