а от големите лъжи и митове, които обикновено чуваме и много често се чете това в "Linux няма вируси", "Linux не е мишена за хакери" и други неща, свързани с "Linux е имунизиран", което е напълно невярно...
Ами ако можем да сложим наполовина истина и наполовина лъжа, е, че Linux няма същото количество зловреден софтуер и атаки от хакери. Това се дължи на проста и проста причина, тъй като на пазара на Linux той не представлява дори 10% от всички настолни компютри, така че по принцип не е изгодно (така да се каже) да харчите голямо количество време и усилия.
Но далеч от това, това не зададе тон броят на заразените със зловреден софтуер, насочени към устройства с Linux, продължава да нараства и това е, че за 2021 г. сумата се е увеличила с 35% и това е така, защото IoT устройствата се отчитат по-често за DDoS атаки (разпределен отказ на услуга).
IoT често са „умни“ устройства с ниска мощност които изпълняват различни дистрибуции на Linux и са ограничени до конкретна функционалност. Но въпреки това, когато ресурсите им се обединят в големи групи, те могат да стартират масивни DDoS атаки дори в добре защитена инфраструктура.
В допълнение към DDoS, Linux IoT устройствата се набират за копаене на криптовалута, улесняване на спам кампании, действат като релета, действат като командни и контролни сървъри или дори действат като входни точки към мрежите за данни.
Репортаж от Crowdstrike анализирането на данните за атаките от 2021 г. обобщава следното:
- През 2021 г. имаше 35% увеличение на зловреден софтуер, насочен към Linux системи, в сравнение с 2020 г.
- XorDDoS, Mirai и Mozi бяха най-разпространените семейства, които представляват 22% от всички атаки на зловреден софтуер, насочени към Linux, наблюдавани през 2021 г.
- Mozi, по-специално, отбеляза експлозивен растеж в бизнеса, като през последната година циркулираха десет пъти повече проби в сравнение с предходната година.
- XorDDoS също отбеляза забележително увеличение от 123% на годишна база.
В допълнение, той предоставя кратко общо описание на злонамерения софтуер:
- XordDoS: е универсален Linux троянски кон, който работи на множество системни архитектури на Linux, от ARM (IoT) до x64 (сървъри). Той използва XOR криптиране за C2 комуникации, откъдето идва и името му. При атака на IoT устройства, груба сила XorDDoS уязвими устройства чрез SSH. На машини с Linux използвайте порт 2375, за да получите root достъп без парола до хоста. Забележителен случай на разпространение на зловредния софтуер беше показан през 2021 г., след като китайски заплаха, известен като „Winnti“, беше наблюдаван да го внедрява заедно с други ботнети.
- Мози: е P2P (peer-to-peer) ботнет, който разчита на системата за търсене на разпределена хеш таблица (DHT), за да скрие подозрителни C2 комуникации от решения за наблюдение на мрежовия трафик. Този конкретен ботнет съществува от доста време, като непрекъснато добавя нови уязвимости и разширява обхвата си.
- Виж: това е прословут ботнет, който породи много разклонения поради публично достъпния си изходен код и продължава да тормози света на IoT. Различните деривати прилагат различни комуникационни протоколи C2, но всички те често злоупотребяват със слаби идентификационни данни, за да се наложат в устройствата.
Няколко забележителни варианта на Mirai бяха обхванати през 2021 г., като "Dark Mirai", който се фокусира върху домашни рутери, и "Moobot", който е насочен към камери.
„Някои от най-разпространените варианти, следвани от изследователите на CrowdStrike, включват Sora, IZIH9 и Rekai“, обяснява изследователят на CrowdStrike Михай Магану в доклада. „В сравнение с 2020 г. броят на пробите, идентифицирани за тези три варианта, се е увеличил съответно с 33%, 39% и 83% през 2021 г.
Констатациите на Crowstrike не са изненадващи, като потвърждават продължаваща тенденция, която се появи през предходните години. Например, доклад на Intezer, разглеждащ статистиката за 2020 г., установи, че семействата на зловреден софтуер на Linux са нараснали с 40% през 2020 г. в сравнение с предходната година.
През първите шест месеца на 2020 г. имаше значително увеличение от 500% на злонамерения софтуер Golang, което показва, че авторите на зловреден софтуер търсят начини да накарат кода си да работи на множество платформи.
Това програмиране, а оттам и тенденцията за насочване, вече бяха потвърдени в случаите в началото на 2022 г. и се очаква да продължат неотслабващо.
Fuente: https://www.crowdstrike.com/
разликата е, че нулев ден в Linux обикновено се коригира за по-малко от седмица (най-много), а в Windows някои никога не се разрешават.
Разликата е, че архитектурата и системата за разрешения на Linux правят много по-трудно получаването на повишени разрешения от потребителски акаунт...
И разликата е, че по-голямата част от тази работа се извършва от доброволци с отворен код, а не от големи корпорации, които създават собствен код, за да скрият от нас какво се случва отдолу. Opensource е лесно одитируем.
Но хей, прав си за едно нещо, ако потребителите ви се увеличат, ресурсите за атаката им и изследването на уязвимостите ще се увеличат, ако можете да получите икономическа възвръщаемост с това.
Така че е добра новина, че зловредният софтуер на Linux се увеличава. :)
И в IoT това ще бъде 100% вина на производителя, пластирът за много рутери на Xiaomi, които използват OpenWRT, беше пуснат 2 дни след като бяха заразени от Mirai, Xiaomi се актуализираше всяка седмица. Много други като TP-Link, които също използват OpenWRT, никога не са били актуализирани
До ден днешен има перални, заразени с Mirai и те не се актуализират, а са само пач, който трябва да пуснат
Както се случи със сървърите на HP, те никога не са кърпили Java и това беше покрита уязвимост преди 2 години