Dess rykte för säkerhet innebär att Linux ofta anses vara mindre sårbart för de typer av hot som regelbundet plågar Microsoft Windows-system. Mycket av den upplevda säkerheten kommer från det relativt låga antalet Linux-system, men cyberbrottslingar börjar se värde i att välja kvalitet över kvantitet?
Linuxhotets landskap förändras
Säkerhetsforskare vid företag som Kaspersky och Blackberry, tillsammans med federala byråer som FBI och NSA varnar för att malwareförfattare ökar sitt fokus på Linux.
Operativsystemet är nu erkänt som en port till värdefulla data som affärshemligheter, immateriell egendom och personalinformation. Linux-servrar kan också användas som en mellanstation för infektion i bredare nätverk fulla av Windows-, macOS- och Android-enheter.
Även om det inte är operativsystemet som körs på din stationära eller bärbara dator, kommer dina data sannolikt att exponeras för Linux förr eller senare. Ditt molnlagring, VPN och e-postleverantörer, liksom din arbetsgivare, vårdförsäkringsgivare, statliga tjänster eller universitet, är nästan säkert kör Linux som en del av deras nätverk, och chansen är att du äger eller kommer att äga en Linux-driven Internet Of Things (IoT) -enhet nu eller i framtida.
Flera hot har upptäckts under de senaste 12 månaderna. Vissa är kända skadliga program för Windows som överförs till Linux, medan andra har sittat oupptäckta på servrar i nästan ett decennium och visar hur mycket säkerhetsteam har underskattat risken.
Många systemadministratörer kan anta att deras organisation inte är tillräckligt viktig för att vara ett mål. Men även om ditt nätverk inte är ett stort pris kan dina leverantörer eller kunder visa sig mer frestande, och att få tillgång till ditt system via en phishing-attack kan till exempel vara ett första steg för att infiltrera deras. Så det är värt att utvärdera hur du skyddar ditt system.
Oavsett om du anser att Linux är det säkraste operativsystemet, har alla operativsystem risker och sårbarheter som kan utnyttjas. Så här hanterar du dem på Linux.
Linux Malware upptäcktes 2020
Här är vår runda upp av de hot som har identifierats under det senaste året.
RansomEXX Trojan
Kaspersky-forskare avslöjade i november att denna Trojan hade överförts till Linux som en körbar. Offret lämnas kvar med filer krypterade med en 256-bitars AES-chiffer och instruktioner om hur man kontaktar skadliga programförfattare för att återställa sina data.
Windows-versionen attackerade några viktiga mål 2020, inklusive Konica Minolta, Texas Department of Transport och det brasilianska domstolssystemet.
RansomEXX är specifikt skräddarsydd för varje offer, med namnet på organisationen inkluderat i både det krypterade filtillägget och e-postadressen på lösensedeln.
Gitpaste-12
Gitpaste-12 är en ny mask som infekterar x86-servrar och IoT-enheter som kör Linux. Det får sitt namn från användningen av GitHub och Pastebin för att ladda ner kod och för sina 12 attackmetoder.
Ormen kan inaktivera AppArmor, SELinux, brandväggar och andra försvar samt installera en kryptovalutaminerare.
IPStorm
Känd på Windows sedan maj 2019, en ny version av detta botnet som kunde attackera Linux upptäcktes i september. Det avväpnar Linux: s mördare som inte är i minnet för att hålla sig igång och dödar säkerhetsprocesser som kan hindra den från att fungera.
Linux-utgåvan levereras med extra funktioner som att använda SSH för att hitta mål, utnyttja Steam-speltjänster och genomsöka pornografiska webbplatser för att förfalska klick på annonser.
Det har också en smak för att infektera Android-enheter anslutna via Android Debug Bridge (ADB).
Drovorub
FBI och NSA lyfte fram denna rootkit i en varning i augusti. Det kan undvika administratörer och antivirusprogram, köra rotkommandon och låta hackare ladda upp och ladda ner filer. Enligt de två byråerna är Drovorub arbetet för Fancy Bear, en grupp hackare som arbetar för den ryska regeringen.
Infektionen är svår att upptäcka, men uppgradering till åtminstone 3.7-kärnan och blockering av otillförlitliga kärnmoduler bör hjälpa till att undvika den.
djävulen
Lucifers skadliga kryptogruva och distribuerade denial of service-bot uppträdde först på Windows i juni och på Linux i augusti. Lucifers Linux-inkarnation tillåter HTTP-baserade DDoS-attacker liksom över TCP, UCP och ICMP.
Penquin_x64
Denna nya stam av skadlig programvara från Turla Penquin-familjen avslöjades av forskare i maj. Det är en bakdörr som gör det möjligt för angripare att fånga upp nätverkstrafik och köra kommandon utan att få root.
Kaspersky hittade exploateringen som kördes på dussintals servrar i USA och Europa i juli.
Doki
Doki är ett bakdörrverktyg som huvudsakligen riktar sig mot dåligt inställda Docker-servrar för att installera krypto gruvarbetare.
Medan skadlig kod vanligtvis kontaktar förutbestämda IP-adresser eller URL-adresser för att få instruktioner, har Dokis skapare skapat ett dynamiskt system som använder Dogecoin crypto blockchain API. Detta gör det svårt att ta bort kommandot infrastruktur eftersom malwareoperatörer kan ändra styrservern med bara en Dogecoin-transaktion.
För att undvika Doki bör du se till att ditt Docker-hanteringsgränssnitt är korrekt konfigurerat.
TrickBot
TrickBot är en banktrojan som används för ransomware-attacker och identitetsstöld, vilket också har gjort övergången från Windows till Linux. Anchor_DNS, ett av de verktyg som används av gruppen bakom TrickBot, dök upp i en Linux-variant i juli.
Anchor_Linux fungerar som en bakdörr och sprids vanligtvis via zip-filer. Skadlig kod skapar en cron uppgift och kontaktar en kontrollserver via DNS-frågor.
Relaterad: Hur man ser ett nätfiske-e-postmeddelande
Pamp
Tycoon Trojan sprids vanligtvis som en komprometterad Java Runtime-miljö i ett zip-arkiv. Forskare upptäckte att den kördes på både Windows- och Linux-system för små och medelstora företag samt utbildningsinstitutioner. Det krypterar filer och kräver lösenbetalningar.
Cloud Snooper
Denna rootkit kapar Netfilter för att dölja kommandon och datastöld bland normal webbtrafik för att kringgå brandväggar.
Systemet identifierades först på Amazon Web Services-molnet i februari och kan användas för att kontrollera skadlig programvara på vilken server som helst bakom vilken brandvägg som helst.
PowerGhost
Även i februari upptäckte forskare på Trend Micro att PowerGhost hade gjort språnget från Windows till Linux. Detta är en filelös cryptocurrency-gruvarbetare som kan sakta ner ditt system och försämra hårdvara genom ökat slitage.
Linux-versionen kan avinstallera eller döda anti-malware-produkter och förblir aktiv med en cron-uppgift. Det kan installera annan skadlig kod, få root-åtkomst och sprida sig via nätverk med SSH.
FritzFrog
Sedan detta peer-to-peer (P2P) botnet identifierades för första gången i januari 2020 har ytterligare 20 versioner hittats. Offren inkluderar regeringar, universitet, medicinska centra och banker.
Fritzfrog är fileless malware, en typ av hot som lever i RAM snarare än på din hårddisk och utnyttjar sårbarheter i befintlig programvara för att göra sitt arbete. Istället för servrar använder den P2P för att skicka krypterad SSH-kommunikation för att samordna attacker över olika maskiner, uppdatera sig själv och se till att arbetet sprids jämnt över nätverket.
Även om det är fileless skapar Fritzfrog en bakdörr med en offentlig SSH-nyckel för att ge åtkomst i framtiden. Inloggningsinformation för komprometterade maskiner sparas sedan över nätverket.
Starka lösenord och autentisering av allmän nyckel erbjuder skydd mot denna attack. Att ändra din SSH-port eller stänga av SSH-åtkomst om du inte använder den är också en bra idé.
FinSpy
FinFisher säljer FinSpy, associerat med spionering av journalister och aktivister, som en hissövervakningslösning för regeringar. Tidigare sett på Windows och Android avslöjade Amnesty International en Linux-version av skadlig programvara i november 2019.
FinSpy möjliggör avlyssning av trafik, åtkomst till privata data och inspelning av video och ljud från infekterade enheter.
Det blev allmänhetens medvetenhet 2011 när demonstranter hittade ett kontrakt för köp av FinSpy på kontoren för den brutala egyptiska säkerhetstjänsten efter president Mubaraks störtande.
Är det dags för Linux-användare att börja ta säkerhet på allvar?
Linux-användare kanske inte är lika utsatta för så många säkerhetshot som Windows-användare, men det råder ingen tvekan värdet och volymen på data som innehas av Linux-system gör plattformen mer attraktiv för cyberbrottslingar.
Om FBI och NSA är oroliga bör ensamhandlare eller småföretag som driver Linux börja betala mer uppmärksamhet på säkerheten nu om de vill undvika att bli säkerhetsskador under framtida attacker mot större organisationer.
Här är våra tips för att skydda dig från den växande listan över Linux-skadlig programvara:
- Kör inte binärfiler eller skript från okända källor.
- Installera säkerhetsprogramvara som antivirusprogram och rootkit-detektorer.
- Var försiktig när du installerar program med kommandon som curl. Kör inte kommandot förrän du förstår vad det ska göra, starta din kommandoradsforskning här.
- Lär dig hur du konfigurerar din brandvägg ordentligt. Den ska logga all nätverksaktivitet, blockera oanvända portar och i allmänhet hålla din exponering för nätverket till det minsta nödvändiga.
- Uppdatera ditt system regelbundet; ställa in säkerhetsuppdateringar som ska installeras automatiskt.
- Se till att dina uppdateringar skickas över krypterade anslutningar.
- Aktivera ett nyckelbaserat autentiseringssystem för SSH och lösenord för att skydda nycklarna.
- Använd tvåfaktorautentisering (2FA) och behåll nycklar på externa enheter som en Yubikey.
- Kontrollera loggar för bevis på attacker.
Från början är Linux ganska säkert, särskilt jämfört med andra operativsystem som macOS eller Windows. Ändå är det bra att bygga på det, med de här verktygen.
- Linux
- Linux
- Skadlig programvara
Joe McCrossan är en frilansande författare, frivillig tech-shooter och amatörcykelreparatör. Han gillar Linux, öppen källkod och alla typer av trollkarlsinnovation.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.
