Noll
Trots att Linux är ett mycket säkrare operativsystem jämfört med den mer allmänt använda Windows, det är inte immuna mot felaktiga och skadliga infektioner.
Under de senaste tio åren har antalet skadlig kod familjer med inriktning Linux har ökat, men det totala antalet hot är fortfarande storleksordningar under malware siffrorna som redovisas som angriper Windows-system.
Detta mindre antal hot har resulterat i en cyber-bevakningsföretag betalar mycket mindre uppmärksamhet till Linux malware ekosystem än de normalt gör till sina Windows motsvarighet.
Så det är ingen överraskning att vissa Linux-malware familjer har först nu upptäckt efter löpande osynliga för mer än fyra år.
I en rapport som publicerades i går av it-säkerhetsföretaget ESET, företaget detaljer 21 “ny” Linux-malware familjer. Alla fungerar på samma sätt, som trojanized versioner av OpenSSH-client.
De är utvecklade som en andra etapp verktyg för att sättas in i mer komplexa “botnet” system. Angripare skulle äventyra ett Linux-system, vanligtvis en server, och sedan ersätta den legitima OpenSSH-installation med en av de trojanized versioner.
ESET sade att “18 av de 21 familjer som innehöll en referens-stjäla-funktionen, vilket gör det möjligt att stjäla lösenord och/eller nycklar” och “17 av de 21 familjer som innehöll en bakdörr läge, vilket gör att angriparen en smygande och bestående sätt för att koppla tillbaka till den infekterade maskinen.”
Bild: ESET
Dessa skadliga stammar är inte “nya” per se. ESET forskare erkänt att de inte upptäcka dessa stammar i första hand. Den äran går till skaparna av annan Linux-malware som heter Windigo (även känd som Ebury).
ESET säger att även analysera Windigo botnet och dess centrala Ebury bakdörr, fann de att Ebury med en inre mekanism som skulle söka efter andra lokalt installerat OpenSSH bakdörrar.
Hur Windigo besättningen gjorde detta, ESET sade, var med hjälp av ett Perl-skript som skannas för 40 filen signaturer (hash) kända för att ha satts av konkurrerande malware gäng.
“När vi tittade in dessa signaturer, vi insåg snabbt att vi inte har prov matcha det mesta av bakdörrar beskrivs i skriften,” sade Marc-Etienne M. Léveillé, malware analytiker på ESET.
“Malware aktörer som faktiskt hade mer kunskap och insyn i in-the-wild SSH bakdörrar än vad vi gjorde”, tillade han.
Léveillé säger ESET har varit att använda samma lista av 40-fil signaturer för att jaga de malware familjer under de senaste åren. Några av de ursprungliga 40 stammar har aldrig setts innan, mest troligt på grund av att deras skapare har gått vidare till andra malware stammar, men 21 av dessa trojanized OpenSSH bakdörrar har fortsatt att användas i efterföljande år.
ESET har nu släppt en 53-sidig rapport med utförliga uppgifter om vart och ett av dessa 21 stammar. Några av dessa skadliga stammar är verkligen enkelt, men några är också mycket komplexa, mest troligt arbete av erfarna malware utvecklare.
Linux server-administratörer kan använda indikatorer av kompromiss (IOCs) som ingår i denna rapport för att skanna sina system för dessa stammar.
Betänkandet går inte in i detalj på hur botnät aktörer växt dessa backdoored OpenSSH-versioner på infekterade värdar. Men om vi har lärt oss något från tidigare rapporter om Linux malware verksamhet är att hotet aktörer litar oftast på samma ol’ tekniker för att få in en fot på Linux-system:
Brute-force eller ordbok attacker som försöker att gissa SSH lösenord. Med hjälp av starka eller unikt lösenord, eller en IP-filtrering system för SSH inloggningar som ska förhindra att dessa typer av attacker.Utnyttjande av sårbarheter i program som körs på toppen av Linux-server (t ex web apps, Cms, etc.). Om appen/tjänsten har varit felaktigt med root-access, eller om angripare utnyttjar en utökning av privilegier fel, en första WordPress plugin kan felet vara lätt eskalerat till den underliggande OS. Att hålla allt uppdaterat, både OS och de program som körs på toppen av det ska förhindra att dessa typer av attacker.
Om inte Linux ägarna som går ut ur deras sätt att misconfigure deras servrar, för enkelhetens skull, de ska vara säkra från de flesta av dessa attacker.
Mer säkerhet nyheter:
Ett botnet av över 20 000 platser i WordPress är att attackera andra platser i WordPressNya Linux-crypto-miner stjäl ditt root-lösenord och inaktiverar antivirusprogrammetWebbplatser som attackeras 58 gånger per dag, även när lagas ordentligt TechRepublicAdobe släpper out-of-band säkerhetsuppdatering för nyupptäckta Flash zero-day –Den CoAP protokollet är nästa stora grej för DDoS-attackerÖver 100 000 Datorer infekterade med nya ransomware stam i KinaÅnga avsevärt förbättrar livet för Linux-spelare CNETAndroid adware har plågat Google Play Store under de senaste två månaderna
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0