Una velikih laži i mitova koje obično čujemo i čitaj vrlo često je to u "Linux nema virusa", "Linux nije meta hakera" i druge stvari vezane za "Linux je imun", što je potpuno netačno...
Šta ako možemo staviti pola istine, a pola laži, je da Linux nema istu količinu zlonamjernog softvera i hakerskih napada. To je zbog jednostavnog i jednostavnog razloga, jer na linux tržištu on ne predstavlja ni 10% svih desktop računara, tako da u osnovi nije isplativo (da tako kažem) trošiti mnogo vremena i truda.
Ali daleko od toga, to nije dalo ton broj zaraza zlonamjernim softverom usmjerenim na Linux uređaje i dalje raste a to je da je za ono što je bilo 2021. iznos povećan za 35% i to zato što se IoT uređaji češće prijavljuju za DDoS napade (distribuirano uskraćivanje usluge).
IoT su često "pametni" uređaji male snage koje pokreću različite distribucije Linuxa i ograničene su na određenu funkcionalnost. ali ipak, kada se njihovi resursi spoje u velike grupe, mogu pokrenuti masivne DDoS napade čak iu dobro zaštićenoj infrastrukturi.
Pored DDoS-a, Linux IoT uređaji se regrutuju za rudarenje kriptovalute, olakšavaju spam kampanje, djeluju kao releji, djeluju kao komandni i kontrolni serveri, ili čak djeluju kao ulazne točke u mreže podataka.
Izvještaj iz Crowdstrike-a analiza podataka o napadima iz 2021. sažima sljedeće:
- U 2021. godini zabilježen je porast zlonamjernog softvera koji cilja na Linux sisteme od 35% u odnosu na 2020. godinu.
- XorDDoS, Mirai i Mozi bile su najraširenije porodice, koje su činile 22% svih napada zlonamjernog softvera usmjerenih na Linux koji su zabilježeni u 2021.
- Mozi je, posebno, doživio eksplozivan rast u poslovanju, sa deset puta više uzoraka koji su cirkulirali u prošloj godini u odnosu na godinu prije.
- XorDDoS je također zabilježio značajan porast od 123% u odnosu na prethodnu godinu.
Osim toga, pruža kratak opći opis zlonamjernog softvera:
- XordDoS: je svestrani Linux trojanac koji radi na više Linux sistemskih arhitektura, od ARM (IoT) do x64 (serveri). Koristi XOR enkripciju za C2 komunikacije, otuda i njegovo ime. Prilikom napada na IoT uređaje, brute force XorDDoS ranjive uređaje putem SSH-a. Na Linux mašinama koristite port 2375 da dobijete root pristup hostu bez lozinke. Značajan slučaj distribucije zlonamjernog softvera prikazan je 2021. godine nakon što je primijećen kineski akter prijetnje poznat kao "Winnti" kako ga postavlja zajedno s drugim spin-off botnetima.
- Mozi: je P2P (peer-to-peer) botnet koji se oslanja na Distributed Hash Table Lookup (DHT) sistem da sakrije sumnjive C2 komunikacije od rješenja za praćenje mrežnog prometa. Ovaj konkretni botnet postoji već neko vrijeme, neprestano dodajući nove ranjivosti i proširujući svoj doseg.
- pogledajte: to je ozloglašeni botnet koji je iznjedrio mnoge vilice zbog svog javno dostupnog izvornog koda i nastavlja da muči svijet IoT-a. Različiti derivati implementiraju različite C2 komunikacijske protokole, ali svi često zloupotrebljavaju slabe vjerodajnice kako bi se natjerali na uređaje.
Nekoliko značajnih Mirai varijanti pokriveno je 2021. godine, kao što su "Dark Mirai", koji se fokusira na kućne rutere, i "Moobot", koji cilja kamere.
“Neke od najčešćih varijanti koje slijede istraživači CrowdStrike-a uključuju Sora, IZIH9 i Rekai”, objašnjava istraživač CrowdStrikea Mihai Maganu u izvještaju. "U poređenju sa 2020., broj identifikovanih uzoraka za ove tri varijante porastao je za 33%, 39%, odnosno 83%, respektivno, u 2021."
Crowstrikeovi nalazi nisu iznenađujući, od tada potvrđuju kontinuirani trend koji se pojavio prethodnih godina. Na primjer, izvještaj Intezera koji se bavi statistikom za 2020. otkrio je da su porodice Linux malvera porasle za 40% u 2020. u odnosu na prethodnu godinu.
U prvih šest mjeseci 2020. godine, došlo je do znatnih 500% porasta zlonamjernog softvera Golang, što pokazuje da pisci zlonamjernog softvera traže načine da njihov kod funkcionira na više platformi.
Ovo programiranje, a samim tim i trend ciljanja, već je potvrđen u slučajevima početkom 2022. i očekuje se da će se nastaviti nesmanjeno.
Izvor: https://www.crowdstrike.com/
razlika je u tome što se nulti dan na linuxu obično zakrpi za manje od nedelju dana (najviše), a na Windowsima se neki nikada ne reše.
Razlika je u tome što Linuxov sistem dozvola i arhitektura znatno otežavaju dobijanje povišenih dozvola sa korisničkog naloga...
A razlika je u tome što većinu ovog posla obavljaju volonteri otvorenog koda, a ne velike korporacije koje kreiraju vlasnički kod kako bi sakrile od nas ono što se događa ispod. Opensource se lako može revidirati.
Ali hej, u pravu ste u vezi jedne stvari, ako se vaši korisnici povećaju, resursi za napad na njih i istraživanje ranjivosti će se povećati ako možete dobiti ekonomske povrate s tim.
Dakle, dobra je vijest da je Linux zlonamjerni softver u porastu. :)
A u IoT-u će biti 100% kriv proizvođač, patch za mnoge Xiaomi rutere koji koriste OpenWRT objavljen je 2 dana nakon što su bili zaraženi Miraijem, Xiaomi je ažuriran svake sedmice. Mnogi drugi poput TP-Link-a koji također koriste OpenWRT nikada nisu ažurirani
Do danas postoje mašine za pranje veša zaražene Mirai-jem i one nisu ažurirane, jer su samo zakrpa koju moraju pokrenuti
Kao što se dogodilo sa HP serverima, nikada nisu zakrpili Javu i to je bila pokrivena ranjivost prije 2 godine