Malware rettet mod Linux-miljøer er steget massivt i det forløbne år, med hackere, der bruger en række teknikker til at udføre operationer. Linux er et eftertragtet mål. Det er værtsoperativsystemet til adskillige applikationsbackends og servere og driver en bred vifte af tingenes internet (IoT) enheder. Alligevel gøres der ikke nok for at beskytte de maskiner, der kører det.
“Linux-malware er blevet massivt overset,” siger Giovanni Vigna, seniordirektør hos VMware. “Da de fleste af cloud hosts kører Linux, giver det at være i stand til at kompromittere Linux-baserede platforme angriberen mulighed for at få adgang til en enorm mængde ressourcer eller at påføre betydelig skade gennem ransomware og wipers.”
I de senere år har cyberkriminelle og nationalstatslige hackere målrettet Linux-baserede systemer. Målet var ofte at infiltrere virksomheds- og regeringsnetværk eller få adgang til kritisk infrastruktur, ifølge en nylig VMware-rapport. De udnytter blandt andet svag godkendelse, upatchede sårbarheder og serverfejlkonfigurationer.
Linux-malware bliver ikke kun mere udbredt, men også mere forskelligartet. Sikkerhedsfirmaet Intezer kiggede på unikhed af malware-stammer for at se, hvor innovative forfatterne er. Firmaet fandt en stigning i de fleste malware-kategorier i 2021 sammenlignet med 2020, inklusive ransomware, banktrojanere, og botnets. “Denne stigning i Linux-målretning kan være korreleret med organisationer, der i stigende grad bevæger sig ind i skymiljøer, som ofte er afhængige af Linux til deres drift,” ifølge en rapport. “Innovationsniveauet for Linux-malware kom tæt på Niveauet for Windows-baseret malware.”
Da Linux-malware fortsætter med at udvikle sig, skal organisationer være opmærksomme på de mest almindelige angreb og hærde sikkerheden hvert trin undervejs. “Mens Linux kan være mere sikkert end andre operativsystemer, er det vigtigt at bemærke, at et operativsystem kun er så sikkert som dets svageste led,” siger Ronnie Tokazowski, rådgiver hos Cofense.
Der er seks typer angreb på Linux, du skal holde øje med:
1. Ransomware er målrettet mod billeder af virtuelle maskiner
I de senere år, ransomware bander er begyndt at kigge på Linux-miljøer. Kvaliteten af malware-prøverne varierer meget, men bander som Conti, DarkSide, REvil og Hive opgraderer hurtigt deres færdigheder.
Typisk er ransomware-angreb mod cloud-miljøer nøje planlagt. Ifølge VMware, cyberkriminelle forsøger at kompromittere deres offer fuldt ud, før de begynder at kryptere filerne.
For nylig begyndte grupper som RansomExx / Defray777 og Conti at målrette mod Linux-værtsbilleder, der bruges til arbejdsbelastninger i virtualiserede miljøer. “Denne nye og bekymrende udvikling viser, hvordan angribere leder efter de mest værdifulde aktiver i skymiljøer for at påføre den maksimale skade,” lyder det i VMware-rapporten.
Kryptering af virtuelle maskinbilleder, der hostes på ESXi Hypervisors, er af særlig interesse for disse bander, fordi de ved, at de kan påvirke driften betydeligt. Det er “et fælles tema i ransomware-landskabet at udvikle nye binære filer specifikt til at kryptere virtuelle maskiner og deres ledelsesmiljøer,” fortælles i en rapport fra sikkerhedsfirmaet Trellix.
2. Cryptojacking er stigende
Cryptojacking er en af de mest udbredte typer Linux-malware, fordi det hurtigt kan producere penge. Hensigten med denne software er at bruge beregningsmæssige ressourcer til at generere kryptokurver til en hacker.
Et af de første bemærkelsesværdige angreb skete i 2018, da Teslas offentlige cloud blev offer. “Hackerne havde infiltreret Teslas Kubernetes-konsol, som ikke var beskyttet med adgangskode,” ifølge skyovervågningsfirmaet RedLock. “Inden for en Kubernetes-pod blev adgangsoplysninger eksponeret for Teslas AWS-miljø, som indeholdt en Amazon S3-bucket (Amazon Simple Storage Service), der havde følsomme data såsom telemetri.”
Cryptojacking er blevet mere udbredt, hvor XMRig og Sysrv er nogle af de mest fremtrædende cryptominer-familier. En rapport fra SonicWall viste, at antallet af forsøg steg med 19% i 2021 sammenlignet med 2020. “For offentlige og sundhedskunder var denne stigning i de trecifrede tal, hvor cryptojacking voksede henholdsvis 709% og 218%,” ifølge dokumentet. Sikkerhedsfirmaet tællede i gennemsnit 338 cryptojacking-forsøg pr. Kundenetværk.
For at målrette deres ofre bruger mange bander lister over standardadgangskoder, bash-udnyttelser eller udnyttelser, der med vilje er målrettet mod forkert konfigurerede systemer med svag sikkerhed, ifølge Tokazowski. “Nogle af disse fejlkonfigurationer kan omfatte kataloggennemgangsangreb, fjernangreb på filinkludering eller stole på forkert konfigurerede processer med standardinstallationer,” siger han.
3. Tre malware-familier – XorDDoS, Mirai og Mozi – målrette IoT
IoT kører på Linux, med få undtagelser, og enhedernes enkelhed kan hjælpe med at gøre dem til potentielle ofre. CrowdStrike rapporterede, at mængden af malware rettet mod gadgets, der opererer på Linux, steg med 35% i 2021 sammenlignet med 2020. Tre malware familier tegner sig for 22% af det samlede antal: XorDDoS, Mirai, og Mozi. De følger det samme mønster med at inficere enheder, samle dem i et botnet og derefter bruge dem til at udføre DDoS-angreb.
Mirai, en Linux Trojan, der bruger Telnet og Secure Shell (SSH) brute-forcing angreb til at kompromittere enheder, ses som den fælles forfader til mange Linux DDoS malware stammer. Når kildekoden blev offentliggjort i 2016, opstod der flere varianter. Derudover lærte malware-forfattere af det og implementerede Mirai-funktioner i deres egne trojanske heste.
CrowdStrike bemærkede, at antallet af Mirai-malwarevarianter, der er kompileret til Intel-drevne Linux-systemer, blev mere end fordoblet i første kvartal af året 2022 sammenlignet med 1. kvartal 2021, med den største stigning i varianter rettet mod 32-bit x86-processorer. “Mirai-varianter udvikler sig løbende for at udnytte upatchede sårbarheder til at udvide deres angrebsoverflade,”Ifølge rapporten.
En anden velstående Linux Trojan er XorDDoS. Microsoft fandt ud af, at denne trussel steg med 254% i de sidste seks måneder. XorDDoS bruger varianter af sig selv kompileret til ARM, x86 og x64 Linux-arkitekturer for at øge sandsynligheden for en vellykket infektion. Ligesom Mirai bruger den brute-force-angreb for at få adgang til sine mål, og når den først er inde, scanner den efter Docker-servere med port 2375 åben for at få ekstern root-adgang til værten uden behov for en adgangskode.
Mozi kompromitterer sine mål på en noget lignende måde, men for at forhindre anden malware i at tage sin plads, blokerer den derefter SSH- og Telnet-portene. Det skaber et peer-to-peer-botnet-netværk og bruger det distribuerede hash-tabelsystem (DHT) til at skjule sin kommunikation med kommando-og-kontrol-serveren bag legitim DHT-trafik.
Aktiviteten af de mest succesrige botnets forbliver konsistent over tid, ifølge Fortinets Global Threat Landscape Report. Sikkerhedsfirmaet opdagede, at malware-forfattere bruger masser af kræfter på at sikre, at infektionen er vedvarende i tide, hvilket betyder, at genstart af enheden ikke bør slette den kontrol, hackeren har over det inficerede mål.
4. Statsstøttede hackerangreb rettet mod Linux-miljøer
Sikkerhedsanalytikere, der overvåger nationalstatsgrupper, har bemærket, at de i stigende grad målretter mod Linux-miljøer. “En masse Linux-malware er blevet implementeret med begyndelsen af den russisk-ukrainske krig, herunder wipers,” siger Ryan Robinson, sikkerhedsforsker hos Intezer. Den russiske APT-gruppe Sandworm angreb angiveligt Linux-systemer fra britiske og amerikanske agenturer et par dage før angrebet startede, ifølge Cyfirma.
ESET var blandt de virksomheder, der nøje fulgte konflikten og dens konsekvenser for cybersikkerheden. “For en måned siden har vi kigget på Industroyer2, et angreb mod en ukrainsk energileverandør,” siger Marc-Étienne Léveillé, senior malware-forsker hos ESET. “Dette angreb omfattede Linux- og Solaris-orme, der spredte sig ved hjælp af SSH og måske stjålne legitimationsoplysninger. Dette var et meget målrettet angreb, som klart havde til formål at ødelægge data fra databaser og filsystemer.”
Linux- wiperen “ødelægger hele indholdet af de diske, der er knyttet til systemet, ved hjælp af makulere, hvis de er tilgængelige, eller simpelthen dd (med if = / dev / random) ellers,” ifølge ESETs papir. “Hvis flere diske er vedhæftet, udføres datafjernelse parallelt for at fremskynde processen.” Sammen med CERT-UA tilskrev ESET malwaren til Sandstorm APT-gruppen, som havde brugt Industroyer i 2016 til at afbryde strømmen i Ukraine.
Hvad angår andre nationalstatshackere, bemærkede Microsoft og Mandiant, at flere grupper støttet af Kina, Iran, Nordkorea og andre havde udnyttet den berygtede Log4j-fejl på både Windows- og Linux-systemer for at få adgang til de netværk, de målretter mod.
5. Filløse hackerangreb er vanskelige at opdage
Sikkerhedsforskere ved AT & T’s Alien Labs så, at flere aktører, herunder TeamTNT, er begyndt at bruge Ezuri, et open source-værktøj skrevet i Golang. Angribere bruger Ezuri til at kryptere ondsindet kode. Ved dekryptering udføres nyttelasten direkte fra hukommelsen uden at efterlade spor på disken, hvilket gør disse angreb vanskelige at opdage af antivirussoftware.
Hovedgruppen, der er forbundet med denne teknik, TeamTNT, er målrettet mod Docker-systemer, der ikke er konfigureret korrekt, med det formål at installere DDoS-bots og cryptominers.
6. Linux malware er rettet mod Windows-maskiner
Linux-malware kan også udnytte Windows-maskiner via Windows Subsystem for Linux (WSL), en funktion i Windows, der gør det muligt for Linux-binære filer at køre indbygget på dette operativsystem. WSL skal installeres manuelt eller ved at deltage i Windows Insider-programmet, men angribere kan installere det, hvis de har forhøjet adgang.
Cloud-sikkerhedsfirmaet Qualys undersøgte muligheden for at udføre angreb eller få vedholdenhed på en Windows-maskine ved hjælp af WSL. Det analyserede to teknikker hidtil, proxying udførelse og installation af hjælpeprogrammer, og konkluderede, at begge er meget gennemførlige. Ifølge virksomhedens sikkerhedseksperter kan organisationer, der ønsker at beskytte mod denne type angreb, deaktivere virtualisering og muligheden for at installere WSL. Det hjælper også med at revidere kørende processer løbende.
Angribere porterede også funktionalitet fra Windows-værktøjer til Linux med det formål at målrette mod flere platforme. Et eksempel er Vermilion Strike, som er baseret på et populært penetrationstestværktøj til Windows, CobaltStrike, men kan bruges til at målrette mod både Windows og Linux. Vermilion Strike tilbyder angribere fjernadgangsfunktioner, herunder filmanipulation og udførelse af shell-kommando. Værktøjet blev brugt mod teleselskaber, offentlige myndigheder og finansielle institutioner, og angribernes hovedhensigt var at udføre spionage.
Analytikere ved Intezer siger i deres rapport, at “Vermilion Strike måske ikke er den sidste Linux-implementering” af CobaltStrike Beacon.
Beskyttelse mod malware, der er målrettet mod Linux-miljøer
Sikkerhed er den svageste, når sysadmins og udviklere kæmper mod tid og deadlines. Udviklere kan for eksempel stole blindt på community-sourcet kode; de kopierer/indsætter kode fra Stack Overflow, kører software hurtigt efter kloning af et GitHub-lager eller udruller en app fra Docker Hub direkte i deres produktionsmiljø.
Opportunistiske angribere drager fordel af denne “opmærksomhedsøkonomi”. De tilføjer cryptominers til Docker-containere eller opretter open source-pakker med navne, der næsten er identiske med stærkt anvendte biblioteker, og drager fordel af den lejlighedsvise stavefejl fra udviklernes side.
“Udnyttelse af åbne Docker- og Kubernetes-udrulninger er ret interessant: Skødesløse mennesker lader deres containerudrulninger være åbne for verden, og disse installationer overtages let og bruges som brohoved til yderligere angreb eller til anden indtægtsgenereringsaktivitet, f.eks. Monero-minedrift,” siger VMwares Vigna.
“Jeg er en ivrig, evangelistisk fortaler for open source-software og -kultur, men en ting, der virkelig giver mig heebie-jeebies, er skrøbeligheden i den tillidskæde, der er involveret i offentlige softwarelagre,” siger Ryan Cribelar, sårbarhedsforskningsingeniør hos Nucleus Security. “Dette er selvfølgelig ikke en Linux-specifik bekymring, men et ondsindet bibliotek, der lurer i PyPi- eller NPM-arkiver, for eksempel, vil uden tvivl forårsage Linux-administratoren og sikkerhedsholdene mest søvntab.”
For Linux-servere er fejlkonfigurationer også et stort problem, og det kan ske på flere punkter langs ens infrastruktur. “Almindeligvis er firewall- eller sikkerhedsgruppeindstillinger forkert konfigureret til at give adgang til det bredere internet, hvilket giver ekstern adgang til implementerede applikationer på Linux-servere,” siger Intzers Robinson.
Programmer er ofte forkert konfigureret til at tillade adgang uden godkendelse eller ved hjælp af standardlegitimationsoplysninger. “Afhængigt af den forkert konfigurerede applikation vil angribere være i stand til at stjæle oplysninger eller køre ondsindet kode på Linux-serveren,”Robinson tilføjer. “Almindelige eksempler inkluderer forkert konfigurerede Docker-dæmoner, der giver angribere mulighed for at køre deres egne containere eller forkert konfigurerede applikationer, der lækker adgangskoder og kundeoplysninger, såsom Apache Airflow.” Robinson tilføjer, at standardkonfiguration ofte ikke er lig med sikker konfiguration.
Joel Spurlock, senior direktør for malware-forskning hos CrowdStrike, ser et andet problem: patching. Han hævder, at organisationer er “enten ude af stand til eller uvillige til at holde maskiner opdaterede.” Patching skal udføres regelmæssigt, og buzzwords som EDR og nul tillid bør også være på menuen.
Malware rettet mod Linux-miljøer trives i en enorm legeplads af forbrugerenheder og servere, virtualiserede miljøer og specialiserede operativsystemer, derfor kræver de sikkerhedsforanstaltninger, der er nødvendige for at beskytte alle disse, fokus og omhyggelig planlægning.
Kilde: CSOonline
Foto: opensource.com