[Перевод] Пара слов о вредоносном ПО для Linux и способах защиты вашей системы
Если вы следите за последними новостями в области IT‑безопасности, то, возможно, заметили рост числа атак на сетевую инфраструктуру Linux‑систем. Среди основных разновидностей вредоносного ПО, о которых вы должны знать, можно выделить Cloud Snooper, EvilGnome, HiddenWasp, QNAPCrypt, GonnaCry, FBOT и Tycoon.
Linux считается очень безопасной операционной системой, но эти угрозы безопасности облачной инфраструктуры могут заставить пользователей сомневаться в защищенности вашей компании как таковой. В этой статье мы хотим поговорить о текущей ситуации с Linux‑угрозами, дать краткий экскурс в историю вредоносного ПО для Linux и пролить свет на другие связанные проблемы, которые могут возникнуть у пользователей.
Пара слов о современном ландшафте Linux-угроз
Несмотря на воспетую безопасность операционных систем Linux, сетевые угрозы, включая вредоносные программы (malware) и вирусы, стали вызывать серьезную обеспокоенность у пользователей Linux. Сетевые атаки нацелены на Linux, поскольку злоумышленники стремятся извлечь серьезную выгоду при доступе к системам, где обычно используются такие системы. По состоянию на март 2018 года было разработано 15 762 новых варианта вредоносного ПО для Linux, что заметно больше, чем 4706 новых вариантов, разработанных в марте 2017 года.
Развитие исследований в области вредоносного ПО в последние годы позволило выявить уязвимости в системе кибербезопасности, угрожающие серверам Linux. Уязвимый сервер любого типа — это открытая дверь для кражи данных и учетной информации, DDoS‑атак, майнинга криптовалюты и перенаправления веб‑трафика. Более того, он может быть использован для размещения вредоносных систем управления и контроля (C&C или C2).
Чуть более года назад, завершив совместную трехлетнюю работу, аналитики в области информационной безопасности выявили ряд бэкдоров в OpenSSH, включая печально известный бэкдор Linux/Ebury, который можно было использовать для компрометации серверов опасным вредоносным ПО. Одновременно аналитики ESET выявили 21 семейство вредоносных программ на базе Linux, 12 из которых ранее не были задокументированы. В некотором смысле эти находки подтвердили наличие развивающегося и все более опасного набора угроз безопасности данных и сети, подвергающих риску пользователей Linux и их системы.
Краткая история вредоносного ПО для Linux
Растущая распространенность вредоносных программ для Linux в последние годы создает ощущение новой нависающей угрозы сетевой безопасности, направленной на системы Linux. К сожалению, вредоносные программы для Linux существуют уже довольно давно. Первое malware для Linux, получившее название Stoag, было обнаружено в 1996 году. Staog представлял собой примитивный вирус, который пытался получить root‑доступ, прикрепляясь к запущенным исполняемым файлам, но его распространение не было очень успешным, и его эксплойт был быстро исправлен.
Stoag прославился как первый вредоносный код для Linux, но первым вариантом malware для Linux, которое попало в газеты, стал Bliss, обнаруженный в 1997 году. Как и Stoag, Bliss был довольно слабым вирусом, который пыталась получить права доступа через скомпрометированные исполняемые файлы, но, к счастью, его можно было деактивировать простым переключением оболочки.
Генеральный директор Guardian Digital и основатель LinuxSecurity.com Дейв Врески (Dave Wreski) так комментирует эволюцию вредоносного ПО для Linux: «С годами вредоносное ПО, нацеленное на системы Linux, становилось все более изощренным и распространенным, однако до недавнего времени Linux‑угрозы оставалось относительно малочисленным и примитивным по сравнению с вариантами, угрожающими проприетарным операционным системам. По состоянию на 2018 год еще не было ни одной широкомасштабной атаки вредоносного ПО или вируса для Linux, сравнимого с теми, которые часто атакуют Microsoft Windows, что можно объяснить отсутствием root‑доступа и быстрым исправлением большинства уязвимостей Linux». К сожалению для пользователей Linux, эра полной безопасности сетей и данных закончилась, поскольку ландшафт Linux‑угроз изменился и стал значительно сложнее и опаснее для пользователей.
Почему вредоносное ПО для Linux вызывает все большую озабоченность у администраторов?
К большому огорчению системных администраторов и пользователей Linux, весь 2019 год и начало 2020-го были отмечены появлением новых вредоносных кампаний, нацеленных на Linux‑серверы. Эти атаки продемонстрировали новые и опасные тактики распространения, позволяющие брешам в облачной безопасности оставаться незамеченными до того, как они скомпрометируют серверы. Давайте рассмотрим основные штаммы вредоносного ПО для Linux, получившие широкое распространение за последние пару лет.
CloudSnooper
CloudSnooper использует уникальную комбинацию сложных техник для проникновения на серверы Linux и Windows с целью позволить вредоносной программе беспрепятственно общаться с серверами управления и контроля через файрволы. CloudSnooper позволяет угрозам работать с серверами изнутри и является первым примером атаки, которая сочетает в себе технику обхода и многоплатформенный пейлоад, нацеленную как на системы Windows, так и на Linux. Хотя каждый отдельный элемент TTPs (техник, тактик и процедур) CloudSnooper был замечен ранее, до сих пор эти аспекты не использовались в комбинации. Эксперты в области кибербезопасности прогнозируют, что этот пакет TTPs будет использован в качестве основы для новых опасных атак на межсетевые файрволы, которые могут поставить под удар безопасность множества сетей и данных.
Хакеры использовали CloudSnooper в сложных эксплойтах для проникновения на серверы Amazon Web Services (AWS) и установки руткита, который позволял злоумышленникам удаленно управлять серверами. Добившись этого, злоумышленники переправляли конфиденциальные данные со взломанных Windows‑ и Linux‑машин на серверы управления и контроля. Аналитик в области информационной безопасности Виллем Моутон (Willem Mouton) так описывает эту атаку: «С технической точки зрения это просто феноменально. А еще они сделали его кроссплатформенным».
EvilGnome
Обнаруженный в июле 2019 года EvilGnome маскируется под расширение оболочки Gnome, чтобы оставаться незамеченным для программ безопасности и шпионить за пользователями ПК. EvilGnome поставляется через самораспаковывающийся архив, созданный с помощью makeself shell‑скрипта, а заражение происходит автоматически с помощью аргумента autorun, оставленного в заголовках самоисполняемого пейлоада. При загрузке в Linux‑систему вредоносная программа способна похищать файлы, делать скриншоты рабочего стола и захватывать аудиозаписи с микрофона пользователя, чтобы затем их можно было загрузить и использовать в других модулях.
Атаки EvilGnome были ассоциированы с Gamaredon Group, российской APT‑группировкой, известной разработкой собственных вариантов вредоносного ПО. Обе хакерские группировки используют одного и того же хостинг‑провайдера и работают с одними и теми же C2-доменами. Связь между группировками не подтверждена, но опыт использования вредоносных программ для Linux у EvilGnome и Gamaredon Group был схожим. Поэтому весьма вероятно, что эти атаки на сетевую безопасность исходят из одного и того же источника.
HiddenWasp
В начале 2019 года аналитики в области информационной безопасности обнаружили новый штамм вредоносного ПО для Linux, созданный китайскими хакерами, который может использоваться для удаленного управления зараженными системами. Эта сложная вредоносная программа, получившая название HiddenWasp, состоит из трояна, user‑mode‑руткита и скрипта изначального развертывания. HiddenWasp развертывается как second‑stage‑пейлоад и способен выполнять терминальные команды, взаимодействовать с локальной файловой системой и многое другое. HiddenWasp имеет сходство с несколькими другими семействами вредоносных программ для Linux, среди которых Azazel, ChinaZ и Adore‑ng, что позволяет предположить, что часть его кода могла быть заимствована. В отличие от распространенных вредоносных программ для Linux, HiddenWasp не нацелен на DDoS‑активность или майнинг криптовалют. Вместо этого он представляет собой троян, используемый исключительно для таргетированного удаленного управления.
QNAPCrypt
Этим летом вирусные аналитики обнаружили редкий случай Linux‑ransomware (вирус‑вымогатель), нацеленной на NAS‑серверы. Вредоносная программа, получившая название QNAPCrypt, представляет собой ARM‑вариант, который шифрует все файлы, однако, в отличие от стандартного ransomware, уведомление о выкупе доставляется исключительно в виде текстового файла без каких‑либо сообщений на экране. Каждой жертве предоставляется уникальный кошелек Bitcoin — такая тактика позволяет скрыть личность злоумышленников. После заражения системы вирус‑вымогатель запрашивает у C2 адрес кошелька и открытый RSA‑ключ перед шифрованием файла. К счастью, это недостаток в конструкции QNAPCrypt, который позволяет жертвам временно заблокировать действия угрозы, чтобы защитить дальнейшие данные и безопасность сети. Несмотря на эту слабость, QNAPCrypt представляет собой следующий виток «эволюции и адаптации атаки для обхода средств контроля безопасности». К сожалению, системные администраторы Linux не очень часто устанавливают мониторинг конечных точек на сетевых файл‑серверах.
GonnaCry
GonnaCry — это новый ransomware для Linux, активно разрабатываемый на Python и C в исследовательских целях. Ведущий разработчик Тарсисио Мариньо (Tarcisio Marinho) так объясняет мотивы своей работы: «С тех пор как в мае 2017 года Wannacry распространился по всему миру и затронул огромное количество стран и компаний, я все время задавался вопросом: можно ли испортить жизнь компании или человека с помощью компьютера? Ответ — да, это вполне возможно. И ransomware — это как раз такой мощный компьютерный вирус, который позволяет это сделать».
GonnaCry начинает свою работу с поиска файлов, которые он будет шифровать. Определив их, вредоносная программа запускает процедуру шифрования и создает.desktop‑файл, который поможет расшифровщику получить доступ к пути, ключу и IV, использованным для шифрования каждого файла. Затем вымогатель освобождает память, выделенную файлам на компьютере. По сложности GonnaCry уступает таким известным вариантами, как WannaCry и Petya, но, по словам Мариньо, «базовая структура вполне работает».
FBOT
FBOT — это клиентский вариант печально известного ботнета Mirai, нацеленный на IoT‑устройства под управлением Linux. Согласно блогу «Malware Must Die!», FBOT вновь появился 9 февраля 2020 года после месяца бездействия, продемонстрировав несколько технических обновлений, включая усовершенствование метода заражения и увеличение скорости распространения. «Malware Must Die!» размышляет о повторном появлении FBOT и будущем вредоносных программ для Linux IoT: «Мы находимся в эпохе, когда вредоносные программы для Linux или IoT приобретают все более совершенную форму. Очень важно сотрудничать с аналитикой угроз и обмениваться знаниями, чтобы остановить возникающую вредоносную активность до того, как она станет большой проблемой для всех нас в будущем».
Tycoon
Tycoon — это новая разновидность ransomware на базе Java, нацеленная на Linux и Windows системы. Этот опасный вариант программы‑вымогателя, обнаруженный вирусными аналитиками Blackberry, использует редкий для вредоносных программ формат файлов, что делает его крайне сложным для обнаружения до того, как он сдетонирует весь пейлоад, предназначенный для шифрования файлов. Аналитики, обнаружившие Tycoon, сообщили, что это первый случай, когда они увидели модуль ransomware, скомпилированный в формат файла JIMAGE. JIMAGE‑файлы редко сканируются антивирусными системами, поэтому у вредоносных JIMAGE ‑файлов есть все шансы остаться незамеченными. BlackBerry объясняет это в своем блоге: «Авторы вредоносных программ постоянно ищут новые способы остаться незамеченными. Они постепенно отходят от традиционной обфускации и переходят к необычным языкам программирования и нераспространенным форматам данных».
Аналитики BlackBerry утверждают, что за последнее время они заметили около дюжины «очень целенаправленных» заражений Tycoon. Злоумышленники, похоже, тщательно выбирали своих жертв, отдавая предпочтение малым и средним предприятиям в сфере программного обеспечения и образования. Однако, как это часто бывает, аналитики предполагают, что реальное число заражений, скорее всего, гораздо выше.
Осведомленность о различных угрозах сетевой безопасности, которые берут под контроль Linux‑системы, очень важна для того, чтобы позаботиться о своем сервере и предотвратить атаки.
Рекомендации и инструменты для защиты Linux-серверов от вредоносного ПО
Поскольку атаки на Linux‑серверы становятся все более распространенными и опасными, защита от вредоносных программ и других современных угроз для Linux важна как никогда. Вот несколько рекомендаций и инструментов, на которые следует обратить внимание при защите Linux‑системы. Все они могут уменьшить уязвимости и обеспечить большую безопасность данных и сети:
Дважды проверьте все конфигурации облака, поскольку неправильная конфигурация и отсутствие надлежащего контроля являются основными причинами нарушения безопасности облака.
Убедитесь, что порталы удаленного доступа должным образом защищены. Многие атаки на уровне сети становятся возможными благодаря тому, что злоумышленники проникают в сеть через легитимный, но небезопасный портал удаленного доступа, выдавая себя за доверенный источник.
Проведите полную инвентаризацию всех устройств, подключенных к сети, и регулярно обновляйте все защитные программы, используемые на этих устройствах.
Убедитесь, что все внешние службы полностью пропатчены. Помните, что файрвол не заменяет собственных мер безопасности облака, поэтому патчинг должен выполняться регулярно.
Установите специальные правила в файрволе, чтобы блокировать управляющие пакеты, характерные для Cloud Snooper.
Включите многофакторную аутентификацию на всех панелях безопасности или панелях управления, используемых внутри компании, чтобы предотвратить отключение защитного программного обеспечения в случае атаки.
Регулярно просматривайте системные логи. Редко кому удается захватить серверы, не оставив следов своих действий, например записей в журнале, свидетельствующих об активации неожиданных или несанкционированных драйверов ядра. Однако помните, что злоумышленники, уже имеющие root‑права, могут изменить конфигурацию ведения журналов и сами журналы, что усложнит обнаружение вредоносной активности.
Помните, что комплексный подход к обеспечению безопасности эшелонированной защитой (defense‑in‑depth) необходим для защиты вашей системы от современных эксплойтов.
Как быстро и точно выявить и устранить вредоносное ПО на Linux?
Если вредоносное ПО загрузилось в вашу систему, возможность быстро и точно определить и удалить его очень важна для защиты вас, ваших пользователей и ваших файлов. К счастью, существуют различные эффективные наборы инструментов сетевой безопасности с открытым исходным кодом, которые можно использовать для обнаружения и удаления вредоносных программ в вашей системе:
Linux Malware Detect — облачный сканер, который можно использовать для обнаружения вредоносных программ в общих средах Linux. Он использует данные об угрозах из систем обнаружения вторжений на границе сети для идентификации и извлечения вредоносного ПО, которое активно используется в атаках, и генерирует сигнатуры для обнаружения. Кроме того, этот инструмент получает данные об угрозах от пользователей и ресурсов сообщества.
Rootkit Hunter (Rkhunter) и Check Rootkit (chkrootkit) — инструменты, которые сканируют локальные системы, выявляя любые потенциально вредоносные программы, такие как malware и вирусы, которые маскируют свое присутствие в системе.
Volatility — облачная система безопасности с открытым исходным кодом для анализа памяти, реагирования на инциденты и анализа вредоносного ПО.
Lynis — приложение командной строки, которое сканирует локальную или удаленную систему, чтобы помочь аудитору выявить потенциальные проблемы сетевой безопасности.
Cuckoo Sandbox — отличная песочница для анализа вредоносных программ. Этот инструмент позволяет безопасно выполнять возможные образцы вредоносного ПО и предоставляет полный отчет о выполненном коде.
Kali Linux — дистрибутив Linux, используемый для пентеста, этического взлома и цифровой криминалистики. Входящие в состав дистрибутива инструменты для пентеста и управления безопасностью могут использоваться для обнаружения угроз в сети и других исследовательских целей, а также для выявления потенциальных уязвимостей безопасности. Kali Linux включает в себя большой арсенал средств сетевой безопасности.
Вредоносное ПО как бизнес
Рынок вредоносных программ быстро растет и развивается, заставляя индустрию безопасности не отставать. Развитие систем безопасности в свою очередь мотивирует инновации, что способствует росту и усилению дальнейшей вредоносной активности. Злоумышленники создают и используют все более гибкие и изощренные штаммы вредоносных программ в своих атаках на сетевую безопасность, что заставляет инженеров создавать более надежные средства защиты от них. Традиционное антивирусное программное обеспечение уже неэффективно для обнаружения и борьбы с современными эксплойтами в сфере кибербезопасности. Защита от современных изощренных вредоносных программ требует комплексного подхода к обеспечению цифровой безопасности.
По данным Verizon, 92.4% вредоносных программ доставляются по электронной почте. Таким образом, эффективная стратегия безопасности электронной почты крайне важна для предотвращения заражений. Вредоносное ПО представляет собой серьезную угрозу сетевой безопасности для всех предприятий, поскольку заражение может привести к значительным простоям, затратам на восстановление и репутационному ущербу. Малые предприятия подвергаются повышенному риску, поскольку у них часто нет ресурсов и финансирования, необходимых для поддержки штатного IT‑отдела.
Guardian Digital EnGarde Cloud Email Security обеспечивает полностью управляемую многоуровневую защиту электронной почты от вредоносных программ, фишинга и других персистентных угроз сетевой безопасности, связанных с электронной почтой. Благодаря прозрачному, коллаборативному подходу к разработке программного обеспечения с открытым исходным кодом компания Guardian Digital имеет доступ к ресурсам и инструментам глобального научно‑технического сообщества и предоставляет их так, как не может ни один другой поставщик услуг безопасности. Такой подход в сочетании с десятилетиями опыта в индустрии безопасности и инженерных знаний позволяет Guardian Digital предлагать гибкие решения корпоративного уровня для предприятий любого размера по конкурентоспособным ценам.
Основные преимущества защиты EnGarde включают:
Усовершенствованная защита в режиме реального времени от социальной инженерии и атак на выдачу себя за другого человека
Протоколы шифрования электронной почты и аутентификации отправителя обнаруживают поддельные адреса и автоматически блокируют их
Нейтрализацию угроз сетевой безопасности, связанных с вредоносными вложениями и ссылками.
Масштабируемая облачная система упрощает развертывание и повышает доступность
Повышение безопасности данных и сетей, адаптивное внедрение и устранение риска блокировки поставщиков благодаря использованию подхода к разработке программного обеспечения с открытым исходным кодом
Профессиональные инженерные услуги, поскольку инженеры‑эксперты Guardian Digital уделяют время изучению ключевых активов, операций и специфических потребностей каждого клиента
Увлеченные, компетентные, круглосуточные службы поддержки клиентов
Заключение
Несмотря на растущее число угроз безопасности данных и сетей, направленных на системы Linux, все еще существуют убедительные доказательства того, что Linux безопасен благодаря своей конструкции. Существует активное мировое сообщество, которое приводит веские аргументы и стремится повысить уровень безопасности, тщательно проверяя все вводимые ресурсы, что позволяет компаниям быть более прозрачными со своим открытым исходным кодом, когда он становится доступным для всех операционных систем, для которых он предназначен. Благодаря тому, что сотрудники постоянно проверяют исходный код ядра Linux, уязвимости в системе кибербезопасности выявляются и устраняются быстрее, чем недостатки, существующие в непрозрачном исходном коде проприетарных операционных систем, таких как Microsoft Windows. Злоумышленники распознают и используют эти слабости, направляя большинство своих атак на проприетарное программное обеспечение, платформы и операционные системы.
По данным аналитиков в области информационной безопасности ESET, ботнет Operation Windigo, использующий веб‑серверы Cdorked для взлома Apache и других систем, был обнаружен в 26 000 случаях заражения с мая 2013 года. Печально известный ботнет ZeroAccess заразил около двух миллионов ПК под управлением Windows, прежде чем был ликвидирован в декабре 2013 года.
Ландшафт цифровых угроз быстро эволюционирует, становясь все более продвинутым и опасным. В то время как большинство атак в области сетевой безопасности по‑прежнему направлены на проприетарные операционные системы, злоумышленники экспериментируют с новыми целями, такими как Linux. Пользователи Linux, несомненно, должны знать о растущем риске, которому подвергаются их системы, и понимать, что в новом десятилетии приоритет безопасности и обслуживания системных данных и сети становится как никогда важным.
Во многих случаях атаки вредоносного ПО можно отнести на счет проблем с администрированием и уязвимостей в кибербезопасности отдельных учетных записей, а не на счет недостатков операционной системы. Генеральный директор Guardian Digital Дэйв Врески (Dave Wreski) утверждает: «Хотя в последние годы рост числа вредоносных программ для Linux легко списать на уязвимости в безопасности операционной системы в целом, это несправедливо и в значительной степени не соответствует действительности. Большинство случаев удачных атак в системах Linux являются следствием неправильно настроенных серверов».
В более широком смысле рост числа вредоносных программ для Linux должен послужить тревожным сигналом для индустрии информационной безопасности, чтобы выделить больше ресурсов на обнаружение этих угроз. Поскольку вредоносное ПО для Linux продолжает усложняться, даже более распространенные вредоносные программы будут часто атаковать Linux, оставаясь при этом незамеченными.
Системным администраторам, планирующим переход на РЕД ОС, рекомендуем обратить внимание на сертифицированный курс «Расширенное администрирование РЕД ОС». На странице курса можно ознакомиться с полной программой, а также посмотреть записи открытых уроков.
