國(guó)外的安全媒體一篇文章提到了Linux系統(tǒng)安全問(wèn)題，這篇文章也正好可以借來(lái)糾正國(guó)內(nèi)關(guān)于Linux牢不可破的神話，以前其被攻擊少很大程度上因?yàn)槠湔加新剩S著其占有率的提升，其被攻擊的可能性逐漸升高，所以本文對(duì)提升整體網(wǎng)絡(luò)安全意識(shí)，有一定的借鑒意義。

組織需要像網(wǎng)絡(luò)中的任何其他端點(diǎn)一樣保護(hù)、監(jiān)控和管理 Linux，網(wǎng)絡(luò)犯罪分子歷來(lái)并沒(méi)有過(guò)多關(guān)注 Linux 系統(tǒng)。事實(shí)上，Linux 以前是 IT 中受攻擊最少的平臺(tái)之一，但這種情況很快發(fā)生了變化。今天，我們看到了旨在攻擊 Linux 系統(tǒng)的惡意軟件，通常以可執(zhí)行和可鏈接格式 (ELF) 的形式出現(xiàn)。Linux 正在成為攻擊者更受歡迎的目標(biāo)，因?yàn)樗\(yùn)行著許多網(wǎng)絡(luò)的后端系統(tǒng)以及物聯(lián)網(wǎng)設(shè)備和任務(wù)關(guān)鍵型應(yīng)用程序的基于容器的解決方案。Linux 系統(tǒng)是一種流行的惡意軟件傳遞機(jī)制。雖然不是最流行的，區(qū)別在于 HTML 和 Javascript，但不要認(rèn)為可以忽略它們。基于 Linux 的攻擊仍時(shí)刻在發(fā)生。

惡意軟件交付機(jī)制

當(dāng)不良行為者發(fā)現(xiàn)可以利用的漏洞時(shí)，其下一步通常是傳播惡意軟件以實(shí)現(xiàn)其目標(biāo)。在決定使用什么平臺(tái)時(shí)，黑客有多種方法可以在不引起注意的情況下將惡意軟件帶入系統(tǒng)。這被稱(chēng)為“黑客的選擇”。他們還可以找到在這些系統(tǒng)中停留更長(zhǎng)時(shí)間而不被注意的方法，這就是我們?cè)诟呒?jí)持續(xù)犯罪 (APC) 中看到的情況。

研究人員觀察到，在過(guò)去六個(gè)月中，HTML 一直是最常見(jiàn)的惡意軟件傳遞方法，它與 Javascript 之間的差異約為 10%，HTML 在 5 月創(chuàng)下新高。

這并不是特別令人震驚。似乎每個(gè)平臺(tái)，除了 XML，在 3 月份略有增長(zhǎng)，隨后在 4 月份下降，基本保持一致。鑒于大多數(shù)惡意軟件開(kāi)發(fā)人員只使用并專(zhuān)注于一個(gè)惡意軟件交付平臺(tái)，這種結(jié)果也算是意料之中的事情。

兩個(gè)領(lǐng)先者是 HTML 和 Javascript，但 LNK 也做得很好。由于存在用于分發(fā)帶有 LNK 擴(kuò)展的惡意軟件的惡意框架，現(xiàn)在執(zhí)行這種攻擊變得更加簡(jiǎn)單。LNK 是一個(gè) Shell 項(xiàng)目，通過(guò)指向它來(lái)打開(kāi)不同的程序、文件夾或文件。稱(chēng)為 eXcelForumla 或 XF 的 Excel 公式病毒會(huì)感染電子表格。

在這種情況下，將 CoinMiner 識(shí)別為在用戶不知情的情況下執(zhí)行活動(dòng)的木馬。建立遠(yuǎn)程訪問(wèn)連接、收集系統(tǒng)信息、攔截鍵盤(pán)輸入、將更多惡意軟件注入受感染的系統(tǒng)、下載/上傳文件、啟動(dòng)拒絕服務(wù) (DoS) 攻擊、運(yùn)行/終止進(jìn)程是其中一些操作。

Linux安全防護(hù)不能打折扣  

雖然 Linux 不是最流行的惡意軟件傳遞方法之一，但這并不意味著它不會(huì)產(chǎn)生影響。如今，大多數(shù)基于 Linux 的惡意軟件攻擊都與加密挖掘有關(guān)。此外，使用這種傳遞方法的攻擊者通常使用它來(lái)進(jìn)行攻擊、自動(dòng)進(jìn)行身份驗(yàn)證攻擊，或者即使在發(fā)現(xiàn)和利用漏洞后仍繼續(xù)攻擊。

如果查看 Linux 平臺(tái)上最普遍的威脅，當(dāng)將一般 Linux 活動(dòng)的數(shù)量與我們對(duì)基于 Linux 的惡意軟件攻擊的了解進(jìn)行比較時(shí)， Mirai位居榜首也就不足為奇了，該僵尸網(wǎng)絡(luò)自 2016 年就已經(jīng)存在，但六年后，仍在被使用、利用和更新。  

第二種最常見(jiàn)的 ELF 類(lèi)型，BitCoinMiner，反映了最近的趨勢(shì)。下一組威脅分散且數(shù)量較少，包括海嘯、代理和 DDoS。然而，數(shù)量少并不總是等同于影響不大。因此，讓我們看一下其他 ELF 檢測(cè)，它們可以提供有關(guān)使用 Linux 的其他事物的更多信息。

雖然很明顯 Miner 樣本是迄今為止最常見(jiàn)的 ELF 檢測(cè)，但一些勒索軟件菌株——如 AvosLocker、Hive和 Vigorf——也使用 Linux。AvosLocker是一種眾所周知的勒索軟件，通常作為勒索軟件即服務(wù) (RaaS) 在暗網(wǎng)上分發(fā)和銷(xiāo)售。盡管 AvosLocker 于 2021 年 7 月首次被發(fā)現(xiàn)，但事實(shí)證明，由于其能夠被犯罪分子視為合適的目標(biāo)并對(duì)其進(jìn)行修改，因此組織和企業(yè)很難與之抗?fàn)帯? 

另一種名為 Vigorf 的勒索軟件變體在 2022 年 3 月開(kāi)始流行，并且在數(shù)量方面，在 6 月超過(guò)了 Hive（勒索軟件）和 Miner 惡意軟件。此外，2019 年發(fā)現(xiàn)的基于 Golang 的惡意軟件 Stealthworker 仍然存在，盡管數(shù)量非常少。

顯然，忽視基于 Linux 的惡意軟件攻擊對(duì)網(wǎng)絡(luò)安全狀態(tài)的潛在影響是不明智的。市場(chǎng)占有率大小不一定與潛在危害相稱(chēng)。在保護(hù)網(wǎng)絡(luò)時(shí)，需要了解所有威脅并準(zhǔn)備好防御所有威脅。

好消息是，在大多數(shù)情況下，如果在其中一個(gè)系統(tǒng)上發(fā)現(xiàn)惡意軟件，那么 SOC 團(tuán)隊(duì)可以包含一個(gè)受感染的單元，前提是他們能夠近乎實(shí)時(shí)地檢測(cè)和響應(yīng)它。但這通常需要團(tuán)隊(duì)識(shí)別惡意功能，這很難做到，因?yàn)閻阂廛浖_(kāi)發(fā)人員專(zhuān)門(mén)逃避檢測(cè)。這是一個(gè)很好的提醒，網(wǎng)絡(luò)衛(wèi)生的基礎(chǔ)知識(shí)與數(shù)字風(fēng)險(xiǎn)保護(hù) (DRPS) 等服務(wù)以及全面的安全網(wǎng)格方法相結(jié)合，可以大大幫助組織掌握惡意軟件，無(wú)論其交付機(jī)制如何。