האם שנת 2020 היא מגפת התוכנה הזדונית של לינוקס?

מוניטין האבטחה שלה פירושו שלעתים קרובות נחשבת לינוקס פחות פגיעה לסוגי האיומים הפוגעים באופן קבוע במערכות Windows של מיקרוסופט. חלק ניכר מהאבטחה הנתפסת מגיע ממספר נמוך יחסית של מערכות לינוקס, אך פושעי סייבר מתחילים לראות ערך בבחירה. איכות על פני כמות?

נוף האיום של לינוקס משתנה

חוקרי אבטחה בחברות כמו קספרסקי ובלקברי, יחד עם סוכנויות פדרליות כמו FBI ו- NSA מזהירים מפני מחברי תוכנה זדונית שמגדילים את התמקדותם בלינוקס.

מערכת ההפעלה מוכרת כיום כשער לנתונים בעלי ערך כגון סודות מסחריים, קניין רוחני ומידע כוח אדם. שרתי לינוקס יכולים לשמש גם כנקודת הזמנת זיהום ברשתות רחבות יותר מלאות במכשירי Windows, MacOS ו- Android.

גם אם זה לא מערכת ההפעלה הפועלת על שולחן העבודה או המחשב הנייד, הנתונים שלך עשויים להיחשף לינוקס במוקדם או במאוחר. ספקי אחסון הענן, ה- VPN והדואר האלקטרוני שלך, כמו גם המעסיק שלך, מבטח הבריאות, שירותי הממשלה או האוניברסיטה שלך, הם כמעט בוודאות. הפעלת לינוקס כחלק מהרשתות שלהם, ורוב הסיכויים שאתה הבעלים של מכשיר Internet Of Things (IoT) המופעל על ידי לינוקס או שבבעלותך עתיד.

במהלך 12 החודשים האחרונים נחשפו איומים מרובים. חלקן ידועות כי תוכנות זדוניות של Windows מועברות ללינוקס, בעוד שאחרות יושבות ללא גילוי בשרתים במשך כמעט עשור, והראו עד כמה צוותי האבטחה העריכו פחות את הסיכון.

מנהלי מערכות רבים עשויים להניח כי הארגון שלהם אינו מספיק חשוב כדי להיות מטרה. עם זאת, גם אם הרשת שלך אינה פרס גדול, הספקים שלך או הלקוחות שלך עשויים להתגלות כמפתה יותר קבלת גישה למערכת שלך, באמצעות התקפת פישינג, למשל, עשויה להיות צעד ראשון לחלחול שֶׁלָהֶם. אז זה שווה להעריך כיצד אתה מגן על המערכת שלך.

10 טיפים נהדרים להגנה על פרטיותך בלינוקס

לא משנה אם אתה סבור כי לינוקס היא מערכת ההפעלה המאובטחת ביותר, לכל מערכות ההפעלה יש סיכונים ופגיעויות שניתן לנצל. כך תתמודד איתם בלינוקס.

תוכנות זדוניות של לינוקס התגלו בשנת 2020

הנה שלנו מתכנס מהאיומים שזוהו בשנה האחרונה.

RansomEXX טרויאני

חוקרי קספרסקי גילו בנובמבר כי טרויאני זה הועבר לינוקס כהפעלה. הקורבן נותר עם קבצים מוצפנים עם צופן AES של 256 סיביות והוראות ליצירת קשר עם מחברי התוכנה הזדונית בכדי לשחזר את הנתונים שלהם.

גרסת Windows תקפה כמה יעדים משמעותיים בשנת 2020, כולל קוניקה מינולטה, משרד התחבורה בטקסס ומערכת בתי המשפט בברזיל.

RansomEXX מותאם במיוחד לכל נפגע, כששם הארגון נכלל הן בסיומת הקובץ המוצפנת והן בכתובת הדוא"ל על פתק הכופר.

גיטפאסט -12

Gitpaste-12 היא תולעת חדשה שמדביקה שרתי x86 והתקני IoT המריצים לינוקס. זה מקבל את שמו מהשימוש בו ב- GitHub וב- Pastebin להורדת קוד ובשל 12 שיטות ההתקפה שלו.

התולעת יכולה להשבית את AppArmor, SELinux, חומות אש והגנות אחרות וכן להתקין כורה מטבע קריפטוגרפי.

IPStorm

ידוע ב- Windows מאז מאי 2019, התגלה בספטמבר גרסה חדשה של בוטנט זה המסוגל לתקוף את לינוקס. זה מנשקת את הרוצח שאינו מזיכרון של לינוקס כדי לשמור על עצמו פועל והורג תהליכי אבטחה שעשויים למנוע את פעולתו.

מהדורת לינוקס מגיעה עם יכולות נוספות כמו שימוש ב- SSH לאיתור מטרות, ניצול שירותי משחקי Steam וסריקת אתרים פורנוגרפיים כדי לזייף קליקים על פרסומות.

יש לו גם טעם להדבקת מכשירי אנדרואיד המחוברים באמצעות Android Debug Bridge (ADB).

דרובורוב

ה- FBI וה- NSA הדגישו את ערכת השורש הזו באזהרה באוגוסט. זה יכול להתחמק ממנהלים ותוכנות אנטי-וירוס, להפעיל פקודות שורש ולאפשר להאקרים להעלות ולהוריד קבצים. על פי שתי הסוכנויות, דרובורוב הוא עבודתו של פנסי בר, ​​קבוצת האקרים העובדים עבור ממשלת רוסיה.

קשה לזהות את הזיהום, אך שדרוג לליבת 3.7 לפחות וחסימת מודולי ליבה לא מהימנים אמור לעזור להימנע מכך.

לוציפר

כריית הקריפטו הזדונית של לוציפר ובוט של מניעת שירות מבוזרת הופיעה לראשונה ב- Windows ביוני ובלינוקס באוגוסט. גלגול הלינוקס של לוציפר מאפשר התקפות DDoS מבוססות HTTP וכן על TCP, UCP ו- ICMP.

פנקווין_קס 64

זן חדש זה של משפחת התוכנות הזדוניות טורלה פנקווין נחשף על ידי החוקרים במאי. זהו דלת אחורית המאפשרת לתוקפים ליירט תעבורת רשת ולהריץ פקודות מבלי לרכוש שורש.

קספרסקי מצא את הנצל שפועל על עשרות שרתים בארה"ב ובאירופה ביולי.

דוקי

דוקי הוא כלי לדלת אחורית המכוון בעיקר לשרתי Docker שהותקנו בצורה גרועה להתקנת כורי קריפטו.

בעוד שתוכנות זדוניות בדרך כלל יוצרות קשר עם כתובות IP קבועות מראש או כתובות אתרים לקבלת הוראות, היוצרים של דוקי הקימו מערכת דינמית המשתמשת ב- API של הצפנה של Dogecoin. זה מקשה על הורדת תשתית הפקודה מכיוון שמפעילי התוכנה הזדונית יכולים לשנות את שרת הבקרה בעסקת Dogecoin אחת בלבד.

כדי להימנע מדוקי, עליך לוודא שממשק הניהול של Docker מוגדר כהלכה.

טריק בוט

TrickBot הוא טרויאני בנקאי, המשמש להתקפות כופר וגניבת זהות, שעשה גם את המעבר מ- Windows ל- Linux. Anchor_DNS, אחד הכלים המשמשים את הקבוצה שמאחורי TrickBot, הופיע בווריאציה של לינוקס ביולי.

Anchor_Linux משמש כדלת אחורית ומופץ בדרך כלל באמצעות קבצי zip. התוכנה הזדונית מגדירה א קרון משימה ויצירת קשר עם שרת בקרה באמצעות שאילתות DNS.

קָשׁוּר: כיצד לזהות דוא"ל התחזות

אֵיל הַהוֹן

ה- Tycoon Trojan מתפשט בדרך כלל כסביבת Java Runtime שנפגעת בתוך ארכיון zip. החוקרים גילו את זה ביוני על מערכות Windows ו- Linux של עסקים קטנים עד בינוניים כמו גם מוסדות חינוך. הוא מצפין קבצים ודורש תשלומי כופר.

סנופר ענן

ערכת שורש זו חוטפת את Netfilter כדי להסתיר פקודות וגניבת נתונים בקרב תעבורת רשת רגילה כדי לעקוף חומות אש.

זוהתה לראשונה בענן שירותי האינטרנט של אמזון בפברואר, וניתן להשתמש בה לשליטה בתוכנות זדוניות בכל שרת שמאחורי כל חומת אש.

PowerGhost

גם בפברואר, חוקרים ב- Trend Micro גילו כי PowerGhost ביצעה את הקפיצה מ- Windows ל- Linux. זהו כורה מטבע קריפטוגרפי נטול תיקים שיכול להאט את המערכת שלך ולפגוע בחומרה באמצעות בלאי מוגבר.

גרסת לינוקס יכולה להסיר או להרוג מוצרים נגד תוכנות זדוניות ונשארת פעילה באמצעות משימת cron. זה יכול להתקין תוכנות זדוניות אחרות, לקבל גישה לשורש ולהפיץ דרך רשתות באמצעות SSH.

פריצפרוג

מאז ש- Botnet זה של עמית לעמית (P2P) זוהה לראשונה בינואר 2020, נמצאו 20 גרסאות נוספות. הקורבנות כוללים ממשלות, אוניברסיטאות, מרכזים רפואיים ובנקים.

Fritzfrog היא תוכנה זדונית חסרת תיקים, סוג של איום שחי בזיכרון RAM ולא בכונן הקשיח ומנצל נקודות תורפה בתוכנות קיימות כדי לעשות את עבודתו. במקום שרתים, היא משתמשת ב- P2P כדי לשלוח תקשורת SSH מוצפנת כדי לתאם התקפות על פני מכונות שונות, לעדכן את עצמה ולהבטיח שהעבודה תפוזה באופן שווה ברחבי הרשת.

למרות שפריצפרוגה היא חסרת תיקים, היא יוצרת דלת אחורית באמצעות מפתח SSH ציבורי כדי לאפשר גישה בעתיד. מידע כניסה למכונות שנמצאות בסכנה נשמר אז ברחבי הרשת.

סיסמאות חזקות ואימות מפתח ציבורי מציעים הגנה מפני התקפה זו. גם שינוי יציאת ה- SSH או כיבוי הגישה ל- SSH אם אינך משתמש בה.

FinSpy

FinFisher מוכרת את FinSpy, המזוהה עם ריגול אחר עיתונאים ופעילים, כפתרון מעקב מדף לממשלות. בעבר, ב- Windows וב- Android, חשפה Amnesty International גרסת לינוקס של התוכנה הזדונית בנובמבר 2019.

FinSpy מאפשר הקשה על תנועה, גישה לנתונים פרטיים והקלטת וידאו ושמע ממכשירים נגועים.

זה הגיע למודעות הציבור בשנת 2011, כאשר מפגינים מצאו חוזה לרכישת FinSpy במשרדי שירות הביטחון המצרי האכזרי לאחר הפלת הנשיא מובארק.

האם הגיע הזמן שמשתמשי לינוקס יתחילו לנקוט באבטחה ברצינות?

למרות שמשתמשי לינוקס לא עשויים להיות פגיעים לאיומי אבטחה רבים כמו משתמשי Windows, אין ספק ערך ונפח הנתונים המוחזקות על ידי מערכות לינוקס הופך את הפלטפורמה לאטרקטיבית יותר עבור פושעי סייבר.

אם ה- FBI ו- NSA חוששים, אז סוחרים יחידים או עסקים קטנים המפעילים לינוקס צריכים להתחיל לשלם יותר תשומת לב לביטחון עכשיו אם הם רוצים להימנע מהפיכת נזק ביטחוני במהלך התקפות עתידיות על גדולים יותר ארגונים.

הנה שלנו טיפים להגנה על עצמך מהרשימה ההולכת וגדלה של תוכנות זדוניות של Linux:

• אל תריץ קבצים בינאריים או סקריפטים ממקורות לא ידועים.
• התקן תוכנת אבטחה כגון תוכניות אנטי-וירוס וגלאי rootkit.
• היזהר בעת התקנת תוכניות באמצעות פקודות כמו סלסול. אל תריץ את הפקודה עד שתבין לגמרי מה זה הולך לעשות, התחל במחקר שורת הפקודה שלך כאן.
• למד כיצד להגדיר את חומת האש כהלכה. עליו לרשום את כל פעילות הרשת, לחסום יציאות שאינן בשימוש, ובדרך כלל לשמור על החשיפה שלך לרשת למינימום הדרוש.
• עדכן את המערכת שלך באופן קבוע; הגדר עדכוני אבטחה להתקנה אוטומטית.
• ודא שהעדכונים שלך נשלחים דרך חיבורים מוצפנים.
• אפשר מערכת אימות מבוססת-מפתח עבור SSH וסיסמה כדי להגן על המפתחות.
• השתמש באימות דו-גורמי (2FA) ושמור על מקשים בהתקנים חיצוניים כגון Yubikey.
• בדוק ביומני עדויות להתקפות.

5 כלי אבטחה שכדאי שיהיה לך בלינוקס

מההתחלה, לינוקס די מאובטחת, במיוחד בהשוואה למערכות הפעלה אחרות כמו MacOS או Windows. למרות זאת, טוב לבנות על זה, החל מכלים אלה.

על הסופר