接上文《??針對(duì)Linux發(fā)起攻擊的14個(gè)APT組織(上)??》

Tsunami后門

Tsunami(又名Kaiten)是一個(gè)UNIX后門，自2002年首次在野外被發(fā)現(xiàn)以來，被多個(gè)攻擊者使用。源代碼幾年前就公開了，現(xiàn)在有70多個(gè)變種。源代碼可以在各種嵌入式計(jì)算機(jī)上順暢地編譯，還有針對(duì)ARM、MIPS、Sparc和思科4500/PowerPC的版本。Tsunami仍然是基于linux的路由器、DVR和不斷增加的物聯(lián)網(wǎng)計(jì)算機(jī)的攻擊。2016年，Linux Mint黑客使用了Tsunami的變體，其中一個(gè)未知的攻擊因素破壞了Linux Mint發(fā)行版ISO，使其包含后門。研究人員還觀察到使用Tsunami后門以精確攻擊方式針對(duì)Linux上的許多加密貨幣用戶。

??

Turla

長(zhǎng)期以 Windows 用戶為侵襲目標(biāo)的惡意軟件“Turla”(也被稱為 Snake 或 Uroboros)，2017年Turla將其觸角伸向了 Mac 用戶，并偽裝成一個(gè) Adobe Flash 安裝器程序，令用戶上當(dāng)受騙。據(jù)安全網(wǎng)站 Malwarebytes 的報(bào)道，更新后的代碼讓Snake 偽裝成為一個(gè) Adobe Flash 安裝器程序，并打包在一個(gè)名為“Install Adobe Flash Player.app.zip”的 ZIP 壓縮文件中。運(yùn)行該壓縮文件，安裝程序的簽名將改為“Addy Symonds”而不是 Adobe。 目前Mac 電腦所引入的 Gatekeeper 的安全技術(shù)，可以保證用戶安裝擁有開發(fā)者簽名的應(yīng)用，防止一些外來的惡意軟件。蘋果已經(jīng)撤銷了這一偽裝證書。

Turla的與其他APT組織一樣，多年來對(duì)其工具集進(jìn)行了重大更改。直到2014年，研究人員看到的Turla使用的所有惡意軟件樣本都是為32位或64位版本的Windows設(shè)計(jì)的。

[[342727]]

然后在2014年12月，研究人員發(fā)表了關(guān)于Penguin Turla的報(bào)告，這是Turla庫中的一個(gè)Linux組件。這是一個(gè)秘密后門，不需要提高特權(quán)，即管理員或root權(quán)限。即使對(duì)系統(tǒng)有有限訪問權(quán)限的人啟動(dòng)它，后門也可以攔截進(jìn)入的數(shù)據(jù)包，并運(yùn)行來自攻擊者對(duì)系統(tǒng)的命令。它也很難被發(fā)現(xiàn)，因此，如果將其安裝在受感染的服務(wù)器上，它可能會(huì)長(zhǎng)時(shí)間呆在那里。對(duì)Penguin Turla的進(jìn)一步研究表明，其起源可以追溯到1990年代中期的Moonlight Maze行動(dòng)。今年5月，來自Leonardo的研究人員發(fā)表了有關(guān)Penguin_x64的報(bào)告，Penguin_x64是Penguin Turla Linux后門的先前未記錄的變體。根據(jù)此報(bào)告，研究人員生成了可大規(guī)模檢測(cè)Penquin_x64感染主機(jī)的網(wǎng)絡(luò)探針，使研究人員能夠在2020年7月之前在歐洲和美國(guó)發(fā)現(xiàn)幾十個(gè)受感染服務(wù)器。研究人員相信，根據(jù)GNU/Linux工具的公開文檔，Turla可能已經(jīng)對(duì)Penguin進(jìn)行了改造，使其能夠執(zhí)行傳統(tǒng)情報(bào)收集之外的操作。

TwoSail Junk

2020年1月10日研究人員發(fā)現(xiàn)名為L(zhǎng)ightSpy的惡意軟件，攻擊網(wǎng)站頁面內(nèi)容是針對(duì)香港用戶設(shè)計(jì)的，研究人員暫時(shí)命名該APT組織“TwoSail Junk”。盡管在公開的報(bào)道中，研究人員認(rèn)為TwoSail Junk 的公開目標(biāo)是針對(duì)iOS的，但根據(jù)跟蹤分析， TwoSail Junk也可能支持Windows, Linux。

全新的WellMess木馬

7月16日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)，加拿大通信安全機(jī)構(gòu)(CSE)和美國(guó)國(guó)家安全局(NSA)發(fā)布了一份聯(lián)合報(bào)告，稱APT29組織使用WellMess系列工具針對(duì)美國(guó)、英國(guó)和加拿大的新冠病毒研究和疫苗研發(fā)相關(guān)機(jī)構(gòu)發(fā)動(dòng)攻擊。值得注意的是，報(bào)告中該重點(diǎn)提及的“WellMess”正是一例全新APT組織，2019年360安全大腦就已捕獲并發(fā)現(xiàn)了WellMess組織一系列的APT攻擊活動(dòng)，并將其命名為“魔鼠”，單獨(dú)編號(hào)為APT-C-42。更為驚險(xiǎn)的是，360安全大腦披露，從2017年12月開始，WellMess組織便通過網(wǎng)絡(luò)滲透和供應(yīng)鏈攻擊作戰(zhàn)之術(shù)，瞄準(zhǔn)國(guó)內(nèi)某網(wǎng)絡(luò)基礎(chǔ)服務(wù)提供商，發(fā)起了定向攻擊。

從2020年3月開始，卡巴斯基實(shí)驗(yàn)室的研究人員開始積極跟蹤與惡意軟件WellMess相關(guān)的新C2服務(wù)器，這意味著潛在的大規(guī)模新活動(dòng)之前就已經(jīng)開始了。該惡意軟件最初是在2018年7月就已經(jīng)被JPCERT發(fā)現(xiàn)，從那以后就偶爾活躍起來。根據(jù)追蹤分析，WellMess可能與CozyDuke(又名APT29)有關(guān)，目前攻擊者的活動(dòng)主要集中在醫(yī)療保健行業(yè)，盡管研究人員無法證實(shí)這兩種說法。WellMess是一種用.NET和Go(Golang)編寫的遠(yuǎn)程訪問木馬，可以交叉編譯以與Windows和Linux兼容。

WildNeutron

2015年，研究人員與賽門鐵克合作發(fā)表了關(guān)于WildNeutron的研究報(bào)告，他們稱其為Morpho或Butterfly。該組織因2012-2013年對(duì)Twitter、微軟(Microsoft)、蘋果(Apple)和Facebook的攻擊而聲名鵲起，是研究人員所見過的最難以捉摸、最神秘、最活躍的組織之一。他們的工具庫包括許多有趣和創(chuàng)新的工具，例如LSA后門或IIS插件，以及基于零日的和物理部署。不出所料，在一些已知的攻擊中，WildNeutron也使用了一個(gè)自定義的Linux后門。早在2013年，卡巴斯基實(shí)驗(yàn)室就曾發(fā)現(xiàn)該黑客組織(又被稱為“Jripbot”和“Morpho”)對(duì)多個(gè)知名公司發(fā)動(dòng)了攻擊，包括蘋果公司、Facebook、Twitter和微軟公司。在攻擊事件曝光后，該黑客組織沉寂了近一年時(shí)間，此后于2013年末和2014年初繼續(xù)開始攻擊，并且持續(xù)到2015年。攻擊者使用了零日漏洞、多平臺(tái)惡意軟件以及其它多種攻擊技巧，所以，卡巴斯基實(shí)驗(yàn)室研究人員認(rèn)為這是一個(gè)實(shí)力強(qiáng)大的網(wǎng)絡(luò)間諜攻擊組織，其發(fā)動(dòng)攻擊的目的可能是出于經(jīng)濟(jì)原因。

Zebrocy APT組織

卡巴斯基實(shí)驗(yàn)室的研究人員表示，Zebrocy APT組織不斷更新其惡意軟件，這使得防御其攻擊變得越來越難。Zebrocy是自定義惡意軟件，研究人員從2015年開始跟蹤。使用該惡意軟件的組織最初是Sofacy 的一個(gè)獨(dú)立的子團(tuán)隊(duì)，但與其他APT組織也有相似之處和重疊之處。該組織已經(jīng)開發(fā)了多種語言的惡意軟件，包括Delphi，AutoIT，.NET，C#，PowerShell和Go。 Zebrocy主要針對(duì)國(guó)內(nèi)和偏遠(yuǎn)地區(qū)的中亞政府相關(guān)組織。該組織廣泛使用魚叉式網(wǎng)絡(luò)釣魚來破壞Windows端點(diǎn)。但是，它的后門配置為通過端口80與IP分配的Web服務(wù)器主機(jī)直接通信。并且該組織似乎更喜歡Linux作為其基礎(chǔ)架構(gòu)的一部分，特別是在Debian Linux上運(yùn)行的Apache 2.4.10。

保護(hù)Linux系統(tǒng)的建議

Linux系統(tǒng)不受保護(hù)的主要原因之一是使用Linux而不是更流行(也更有針對(duì)性)的Windows會(huì)產(chǎn)生一種錯(cuò)誤的安全感。盡管如此，研究人員希望通過本文足以讓你開始認(rèn)真地保護(hù)基于linux的計(jì)算機(jī)。

第一個(gè)建議是維護(hù)軟件的可信來源列表，就像Android或iOS應(yīng)用推薦的方法一樣，只安裝官方存儲(chǔ)庫中的應(yīng)用程序。在Linux系統(tǒng)中，研究人員享受更多的自由，例如，即使你在使用Ubuntu，你也不會(huì)被限制在Canonical自己的存儲(chǔ)庫中。任何.DEB文件，甚至GitHub上的應(yīng)用程序源代碼都可以為你服務(wù)。但是請(qǐng)明智地選擇這些來源，不要盲目地遵循“從我們的服務(wù)器運(yùn)行此腳本以進(jìn)行安裝”之類的說明。

還請(qǐng)注意從這些受信任存儲(chǔ)庫獲取應(yīng)用程序的安全方式，更新應(yīng)用程序的渠道必須使用HTTPS或SSH協(xié)議加密。除了你對(duì)軟件資源及其傳播渠道的信任之外，及時(shí)地進(jìn)行更新也非常重要。大多數(shù)現(xiàn)代Linux版本都可以為你完成這一點(diǎn)，但是一個(gè)簡(jiǎn)單的cron腳本將幫助你保持更多的保護(hù)，并在開發(fā)人員發(fā)布修補(bǔ)程序后立即獲取所有修補(bǔ)程序。

其次研究人員建議檢查與網(wǎng)絡(luò)相關(guān)的設(shè)置，使用像“netstat -a”這樣的命令，你可以過濾掉你主機(jī)上所有不必要的打開端口。請(qǐng)避免使用你不需要或不使用的網(wǎng)絡(luò)應(yīng)用程序，以最大程度地減少網(wǎng)絡(luò)耗用空間。另外，強(qiáng)烈建議你從Linux發(fā)行版中正確設(shè)置防火墻，以過濾流量并存儲(chǔ)主機(jī)的網(wǎng)絡(luò)活動(dòng)。最好不要直接上網(wǎng)，而要通過NAT上網(wǎng)。

為了繼續(xù)執(zhí)行與網(wǎng)絡(luò)相關(guān)的安全規(guī)則，研究人員建議至少使用密碼保護(hù)本地存儲(chǔ)的SSH密鑰(用于網(wǎng)絡(luò)服務(wù))。在更多的“偏執(zhí)”模式下，你甚至可以將密鑰存儲(chǔ)在外部受保護(hù)的存儲(chǔ)中，例如來自任何受信任供應(yīng)商的令牌。在連接的服務(wù)器端，如今，為SSH會(huì)話設(shè)置多因素身份驗(yàn)證并不困難，例如發(fā)送給你手機(jī)的消息或其他機(jī)制(例如身份驗(yàn)證器應(yīng)用)。

這樣，研究人員的建議涵蓋了軟件來源、應(yīng)用程序傳播渠道、避免不必要的網(wǎng)絡(luò)耗用和加密密鑰的保護(hù)。對(duì)于監(jiān)控在文件系統(tǒng)級(jí)別找不到的攻擊，研究人員推薦的另一個(gè)方法是保存和分析網(wǎng)絡(luò)活動(dòng)日志。

作為攻擊模型的一部分，你需要考慮以下可能性：盡管采取了上述所有措施，攻擊者仍可能破壞你的保護(hù)?？紤]到攻擊者對(duì)系統(tǒng)的持久性，請(qǐng)考慮下一步的保護(hù)措施。他們可能會(huì)進(jìn)行更改，以便能夠在系統(tǒng)重新引導(dǎo)后自動(dòng)啟動(dòng)木馬。因此，你需要定期監(jiān)控主要配置文件以及系統(tǒng)二進(jìn)制文件的完整性，以防文件病毒感染。上面提到的用于監(jiān)控網(wǎng)絡(luò)通信的日志在此處完全適用：Linux審核系統(tǒng)收集系統(tǒng)調(diào)用和文件訪問記錄，諸如“osquery”之類的其他守護(hù)程序也可以用于同一任務(wù)。

最后計(jì)算機(jī)的物理安全性也很重要，如果你的筆記本電腦最終落入攻擊者之手，而你沒有采取措施保護(hù)它不受此攻擊環(huán)境的攻擊，則后果就不可想象了。為了物理安全性，應(yīng)該考慮全磁盤加密和安全引導(dǎo)機(jī)制。

具有Linux安全性的專用解決方案可以簡(jiǎn)化保護(hù)任務(wù)，Web威脅防護(hù)可以檢測(cè)到惡意網(wǎng)站和網(wǎng)絡(luò)釣魚網(wǎng)站，網(wǎng)絡(luò)威脅防護(hù)可檢測(cè)傳入流量中的網(wǎng)絡(luò)攻擊，行為分析可以檢測(cè)到惡意活動(dòng)，而設(shè)備控制則可以管理連接的設(shè)備并對(duì)其進(jìn)行訪問。

研究人員的最終建議與Docker有關(guān)，這不是理論上的威脅：Docker的感染是一個(gè)非?，F(xiàn)實(shí)的問題。Docker本身并不能提供安全性。一些Docker與主機(jī)之間是完全隔離的，但并不是所有的網(wǎng)絡(luò)和文件系統(tǒng)接口都存在于其中，而且在大多數(shù)情況下，在物理環(huán)境和Docker環(huán)境之間存在著某種連接。

因此，你可以使用允許在開發(fā)過程中添加安全性的安全解決方案。Kaspersky Hybrid Cloud Security包括集成CI/CD平臺(tái)，如Jenkins，通過腳本掃描Docker映像在不同階段的惡意元素。

為了防止供應(yīng)鏈攻擊，可以使用Docker、映像以及本地和遠(yuǎn)程存儲(chǔ)庫的On-Access掃描(OAS)和按需掃描(ODS)。名稱空間監(jiān)控、靈活的基于掩碼的掃描范圍控制和掃描Docker的不同層的能力有助于實(shí)施最安全的防護(hù)措施。

請(qǐng)記住，除了應(yīng)用研究人員提到的所有措施外，你還應(yīng)該定期審計(jì)和檢查所有生成的日志和任何其他消息。否則你可能會(huì)錯(cuò)過被攻擊的跡象。

最后如果你是一個(gè)專業(yè)安全人員，可以不時(shí)地進(jìn)行系統(tǒng)滲透測(cè)試。

總結(jié)

• 構(gòu)建一個(gè)受信任的軟件源列表，避免使用未加密的更新通道;
• 不要從不可信的源運(yùn)行二進(jìn)制文件和腳本;
• 確保你的更新程序是有效的;
• 設(shè)置自動(dòng)安全更新;
• 多花點(diǎn)精力正確地設(shè)置防火墻，以確保它記錄網(wǎng)絡(luò)活動(dòng)，阻止所有你不用的端口，最小化你的網(wǎng)絡(luò)耗用;
• 使用基于密鑰的SSH身份驗(yàn)證，用密碼保護(hù)密鑰;
• 使用2FA并將敏感密鑰存儲(chǔ)在外部令牌計(jì)算機(jī)(如Yubikey)上;
• 使用帶外網(wǎng)絡(luò)tap獨(dú)立地監(jiān)控和分析Linux系統(tǒng)的網(wǎng)絡(luò)通信;
• 維護(hù)系統(tǒng)可執(zhí)行文件的完整性;
• 定期檢查配置文件的更改;
• 為內(nèi)部/物理攻擊做好準(zhǔn)備：使用全磁盤加密、可信/安全引導(dǎo)并在關(guān)鍵硬件上安裝明顯篡改的安全磁盤;
• 審核系統(tǒng)，檢查日志中的攻擊兆頭;
• 在Linux設(shè)置上運(yùn)行滲透測(cè)試;
• 使用具有web和網(wǎng)絡(luò)保護(hù)的Linux專用安全解決方案，以及DevOps保護(hù)功能;

本文翻譯自：https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/