國外的安全媒體一篇文章提到了Linux系統(tǒng)安全問題，這篇文章也正好可以借來糾正國內關于Linux牢不可破的神話，以前其被攻擊少很大程度上因為其占有率，隨著其占有率的提升，其被攻擊的可能性逐漸升高，所以本文對提升整體網(wǎng)絡安全意識，有一定的借鑒意義。

組織需要像網(wǎng)絡中的任何其他端點一樣保護、監(jiān)控和管理 Linux，網(wǎng)絡犯罪分子歷來并沒有過多關注 Linux 系統(tǒng)。事實上，Linux 以前是 IT 中受攻擊最少的平臺之一，但這種情況很快發(fā)生了變化。今天，我們看到了旨在攻擊 Linux 系統(tǒng)的惡意軟件，通常以可執(zhí)行和可鏈接格式 (ELF) 的形式出現(xiàn)。Linux 正在成為攻擊者更受歡迎的目標，因為它運行著許多網(wǎng)絡的后端系統(tǒng)以及物聯(lián)網(wǎng)設備和任務關鍵型應用程序的基于容器的解決方案。Linux 系統(tǒng)是一種流行的惡意軟件傳遞機制。雖然不是最流行的，區(qū)別在于 HTML 和 Javascript，但不要認為可以忽略它們?；?Linux 的攻擊仍時刻在發(fā)生。

惡意軟件交付機制

當不良行為者發(fā)現(xiàn)可以利用的漏洞時，其下一步通常是傳播惡意軟件以實現(xiàn)其目標。在決定使用什么平臺時，黑客有多種方法可以在不引起注意的情況下將惡意軟件帶入系統(tǒng)。這被稱為“黑客的選擇”。他們還可以找到在這些系統(tǒng)中停留更長時間而不被注意的方法，這就是我們在高級持續(xù)犯罪 (APC) 中看到的情況。

研究人員觀察到，在過去六個月中，HTML 一直是最常見的惡意軟件傳遞方法，它與 Javascript 之間的差異約為 10%，HTML 在 5 月創(chuàng)下新高。

這并不是特別令人震驚。似乎每個平臺，除了 XML，在 3 月份略有增長，隨后在 4 月份下降，基本保持一致。鑒于大多數(shù)惡意軟件開發(fā)人員只使用并專注于一個惡意軟件交付平臺，這種結果也算是意料之中的事情。

兩個領先者是 HTML 和 Javascript，但 LNK 也做得很好。由于存在用于分發(fā)帶有 LNK 擴展的惡意軟件的惡意框架，現(xiàn)在執(zhí)行這種攻擊變得更加簡單。LNK 是一個 Shell 項目，通過指向它來打開不同的程序、文件夾或文件。稱為 eXcelForumla 或 XF 的 Excel 公式病毒會感染電子表格。

在這種情況下，將 CoinMiner 識別為在用戶不知情的情況下執(zhí)行活動的木馬。建立遠程訪問連接、收集系統(tǒng)信息、攔截鍵盤輸入、將更多惡意軟件注入受感染的系統(tǒng)、下載/上傳文件、啟動拒絕服務 (DoS) 攻擊、運行/終止進程是其中一些操作。

Linux安全防護不能打折扣  

雖然 Linux 不是最流行的惡意軟件傳遞方法之一，但這并不意味著它不會產(chǎn)生影響。如今，大多數(shù)基于 Linux 的惡意軟件攻擊都與加密挖掘有關。此外，使用這種傳遞方法的攻擊者通常使用它來進行攻擊、自動進行身份驗證攻擊，或者即使在發(fā)現(xiàn)和利用漏洞后仍繼續(xù)攻擊。

如果查看 Linux 平臺上最普遍的威脅，當將一般 Linux 活動的數(shù)量與我們對基于 Linux 的惡意軟件攻擊的了解進行比較時， Mirai位居榜首也就不足為奇了，該僵尸網(wǎng)絡自 2016 年就已經(jīng)存在，但六年后，仍在被使用、利用和更新。  

第二種最常見的 ELF 類型，BitCoinMiner，反映了最近的趨勢。下一組威脅分散且數(shù)量較少，包括海嘯、代理和 DDoS。然而，數(shù)量少并不總是等同于影響不大。因此，讓我們看一下其他 ELF 檢測，它們可以提供有關使用 Linux 的其他事物的更多信息。

雖然很明顯 Miner 樣本是迄今為止最常見的 ELF 檢測，但一些勒索軟件菌株——如 AvosLocker、Hive和 Vigorf——也使用 Linux。AvosLocker是一種眾所周知的勒索軟件，通常作為勒索軟件即服務 (RaaS) 在暗網(wǎng)上分發(fā)和銷售。盡管 AvosLocker 于 2021 年 7 月首次被發(fā)現(xiàn)，但事實證明，由于其能夠被犯罪分子視為合適的目標并對其進行修改，因此組織和企業(yè)很難與之抗爭。  

另一種名為 Vigorf 的勒索軟件變體在 2022 年 3 月開始流行，并且在數(shù)量方面，在 6 月超過了 Hive（勒索軟件）和 Miner 惡意軟件。此外，2019 年發(fā)現(xiàn)的基于 Golang 的惡意軟件 Stealthworker 仍然存在，盡管數(shù)量非常少。

顯然，忽視基于 Linux 的惡意軟件攻擊對網(wǎng)絡安全狀態(tài)的潛在影響是不明智的。市場占有率大小不一定與潛在危害相稱。在保護網(wǎng)絡時，需要了解所有威脅并準備好防御所有威脅。

好消息是，在大多數(shù)情況下，如果在其中一個系統(tǒng)上發(fā)現(xiàn)惡意軟件，那么 SOC 團隊可以包含一個受感染的單元，前提是他們能夠近乎實時地檢測和響應它。但這通常需要團隊識別惡意功能，這很難做到，因為惡意軟件開發(fā)人員專門逃避檢測。這是一個很好的提醒，網(wǎng)絡衛(wèi)生的基礎知識與數(shù)字風險保護 (DRPS) 等服務以及全面的安全網(wǎng)格方法相結合，可以大大幫助組織掌握惡意軟件，無論其交付機制如何。