首页 >> 网络安全 >>极客新闻 >> APT组将目光投向Linux目标:趋势之内
详细内容

APT组将目光投向Linux目标:趋势之内

时间:2020-09-13     【转载】   阅读

研究人员发现,更多高级攻击组可以创建工具和平台来针对基于Linux的设备。

针对Linux资源的高级持久威胁(APT)组的稳定增长促使研究人员共享这些攻击的详细信息,并解释有关Linux安全性的误解以及组织如何更好地保护其Linux计算机。


研究员Yury Namestnikov说,卡巴斯基全球研究与分析团队(GReAT)在过去八年中一直观察到这种稳定趋势。越来越多的高级小组正在针对运行Linux软件的设备创建工具,甚至平台。


人们普遍认为,Linux操作系统默认是安全的,并且不易受到恶意代码的攻击。这种误解根植于这样的想法,即网络犯罪分子对Linux台式机和服务器的恶意软件更少,并且对此也没有兴趣。关于Windows的针对性攻击的文章很多,而Windows是卡巴斯基找到最多APT攻击工具的平台。


尽管Linux尚未遇到Windows系统所见的大量病毒,蠕虫和特洛伊木马,但研究人员强调,它仍然是一个有吸引力的目标。网络攻击者拥有PHP后门,rootkit和为Linux编写的利用代码,但许多企业对此并不十分担心。


这是危险的。因此,信息安全部门和软件供应商的安全团队不太关注缓解此问题的方法,从而导致组织的可见性和保护Linux台式机,服务器和IoT的工具较少的情况。


Namestnikov解释说:“并非所有组织都如此,但是不幸的是,在许多情况下,这是普遍的情况。” “当我们开始谈论有针对性的攻击时,我们很容易看到,几乎每个严重的威胁参与者都有一些令人惊讶的工具,它们可以侵入并控制运行Linux的计算机。


他说,APT团体之所以将目标瞄准Linux而不是Windows的原因很多。关键因素是容器化趋势,这推动了Linux的采用。这些机器通常可以从Internet访问,并且可以用作攻击者的初始入口点。向虚拟化和容器化的转变意味着几乎所有企业在某些日常任务中都使用Linux。 


Namestnikov补充说,许多组织使用的Linux和macOS设备比Windows系统更多,攻击者没有其他选择。IT公司,电信公司和政府都在其中。他指出,在某些地区,人们正在桌面环境中采用更多Linux,特别是在土耳其和中国等政府和国防领域。


卡巴斯基的遥测表明服务器是这些攻击的最常见目标,其次是企业IT和网络设备,然后是工作站。Namestnikov指出,在某些情况下,攻击者使用运行Linux的受损路由器作为同一网络中Windows植入的命令和控制。


研究人员在全面分析中写道,服务器应该是首要关注的问题。基于Linux的服务器的战略重要性使其成为热门目标。如果攻击者可以破坏Linux服务器,则他们既可以访问该服务器上的数据,又可以访问运行Windows或可能已连接的macOS的端点。 


不断发展的威胁

攻击者对Linux恶意软件和针对Linux设备的攻击进行了更改。当他们最初开始编写恶意软件时,他们的目标是操纵网络流量。对于Cloud Snooper来说,这是显而易见的。CloudSnooper是一种威胁参与者,它使用面向服务器的Linux内核rootkit来设计,以挂接Netfilter流量控制功能和穿越目标防火墙的命令与控制通信。


研究人员指出,对于钡/ APT41,同样的目标显而易见。该小组于2013年成立,主要目标是为游戏公司谋取经济利益。随着时间的流逝,它开发了新的工具并追求了更复杂的目标。它使用了被称为MessageTap的Linux恶意软件,攻击者用来拦截来自电信提供商基础设施的SMS消息。


Namestnikov说,针对Linux的APT攻击者经常使用基于Linux的服务器和台式机上可用的合法工具,例如,编译代码或运行Python脚本的能力,最终在日志中留下的痕迹更少。他说,最相关的事情是他们隐藏在Linux设备上,然后随意离开然后返回的能力。


他解释说,要做到这一点,他们可以感染IoT或网络盒,或者替换受感染服务器上的合法文件。因为这些服务器不经常更新,并且在许多情况下没有安装防病毒软件,所以这些替换通常为时已晚-如果根本看不到它们。 


尽管Linux的针对性不如Windows,但研究人员建议企业采取措施保护其环境免受此类攻击。他们的第一个技巧是保留受信任的软件来源列表,并且仅安装来自官方商店的应用程序。Linux可能提供更大的自由度,但它给组织施加压力,要求他们明智地下载软件。


除此之外,他们建议检查网络设置并避免不必要的网络应用程序。还建议组织从Linux发行版中正确配置其防火墙,以过滤流量并存储主机的网络活动。其他建议包括保护用于网络服务的本地存储的SSH密钥,以及为SSH会话设置多因素身份验证。

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录