en af de store løgne og myter, som vi normalt hører og læser meget ofte er det i "Linux der er ingen vira", "Linux er ikke et mål for hackere" og andre ting relateret til "Linux er immun", hvilket er fuldstændig falsk...
Hvad hvis vi kan sætte halv sandhed og halv løgn, er, at Linux ikke har den samme mængde malware og angreb fra hackere. Dette skyldes en simpel og simpel grund, da det på linux-markedet ikke repræsenterer engang 10% af alle stationære computere, så det er dybest set ikke rentabelt (så at sige) at bruge en stor mængde tid og kræfter.
Men det har langtfra ikke været toneangivende antallet af malware-infektioner rettet mod Linux-enheder fortsætter med at stige og det er, at for det, der var 2021, steg beløbet med 35%, og det skyldes, at IoT-enheder rapporteres hyppigere for DDoS-angreb (distribueret denial of service).
IoT'er er ofte "smarte" enheder med lav strøm der kører forskellige Linux-distributioner og er begrænset til specifik funktionalitet. Men ikke desto mindre, når deres ressourcer kombineres i store grupper, kan de iværksætte massive DDoS-angreb selv i velbeskyttet infrastruktur.
Ud over DDoS rekrutteres Linux IoT-enheder til at udvinde kryptovaluta, facilitere spamkampagner, fungere som relæer, fungere som kommando- og kontrolservere eller endda fungere som indgangspunkter til datanetværk.
En rapport fra Crowdstrike at analysere angrebsdata fra 2021 opsummerer følgende:
- I 2021 var der en stigning på 35 % i malware rettet mod Linux-systemer sammenlignet med 2020.
- XordDoS, Mirai og Mozi var de mest udbredte familier, der tegnede sig for 22% af alle malware-angreb rettet mod Linux set i 2021.
- Især Mozi har oplevet en eksplosiv vækst i forretningen med ti gange så mange prøver i omløb i det sidste år sammenlignet med året før.
- XordDoS oplevede også en bemærkelsesværdig stigning på 123% år-til-år.
Derudover giver den en kort generel beskrivelse af malwaren:
- XordDoS: er en alsidig Linux-trojaner, der fungerer på flere Linux-systemarkitekturer, fra ARM (IoT) til x64 (servere). Den bruger XOR-kryptering til C2-kommunikation, deraf navnet. Når du angriber IoT-enheder, skal du brute force XordDoS-sårbare enheder via SSH. På Linux-maskiner skal du bruge port 2375 til at få adgangskodefri root-adgang til værten. Et bemærkelsesværdigt tilfælde af distribution af malware blev vist i 2021, efter at en kinesisk trusselsaktør kendt som "Winnti" blev observeret i at implementere den sammen med andre spin-off-botnets.
- Mozi: er et P2P (peer-to-peer) botnet, der er afhængig af DHT-systemet (Distributed Hash Table Lookup) for at skjule mistænkelig C2-kommunikation fra netværkstrafikovervågningsløsninger. Dette særlige botnet har eksisteret i et stykke tid og har løbende tilføjet nye sårbarheder og udvidet dets rækkevidde.
- Se: det er et berygtet botnet, der har affødt mange gafler på grund af dets offentligt tilgængelige kildekode og fortsætter med at plage IoT-verdenen. De forskellige derivater implementerer forskellige C2-kommunikationsprotokoller, men misbruger alle ofte svage legitimationsoplysninger til at tvinge sig selv ind i enheder.
Adskillige bemærkelsesværdige Mirai-varianter blev dækket i 2021, såsom "Dark Mirai", som fokuserer på hjemmeroutere, og "Moobot", som er rettet mod kameraer.
"Nogle af de mest udbredte varianter efterfulgt af CrowdStrike-forskere involverer Sora, IZIH9 og Rekai," forklarer CrowdStrike-forsker Mihai Maganu i rapporten. "Sammenlignet med 2020 steg antallet af prøver identificeret for disse tre varianter med henholdsvis 33%, 39% og 83% i 2021."
Crowstrikes resultater er ikke overraskende, eftersom bekræfte en vedvarende tendens, der er dukket op i tidligere år. For eksempel viste en Intezer-rapport, der kiggede på 2020-statistikker, at Linux-malwarefamilier voksede 40 % i 2020 sammenlignet med det foregående år.
I de første seks måneder af 2020 var der en voldsom stigning på 500 % i Golang-malware, hvilket viser, at malware-forfattere leder efter måder at få deres kode til at fungere på tværs af flere platforme.
Denne programmering, og i forlængelse heraf målretningstendensen, er allerede blevet bekræftet i tilfælde i begyndelsen af 2022 og forventes at fortsætte med uformindsket styrke.
kilde: https://www.crowdstrike.com/
forskellen er, at en nuldag på linux normalt bliver rettet på mindre end en uge (højst), og på Windows løses nogle aldrig.
Forskellen er, at Linuxs arkitektur og tilladelsessystem gør det meget sværere at få forhøjede tilladelser fra en brugerkonto...
Og forskellen er, at det meste af dette arbejde udføres af open source-frivillige og ikke af store virksomheder, der skaber proprietær kode for at skjule for os, hvad der sker nedenunder. Opensource er let at revidere.
Men hey, du har ret i én ting, hvis dine brugere stiger, vil ressourcerne til at angribe dem og udforske sårbarheder øges, hvis du kan få økonomisk afkast med det.
Så det er gode nyheder, at Linux malware er på vej frem. :)
Og i IoT vil det være 100% producentens skyld, patchen til mange Xiaomi-routere, der bruger OpenWRT, blev udgivet 2 dage efter, at de blev inficeret af Mirai, Xiaomi blev opdateret hver uge. Mange andre som TP-Link, der også bruger OpenWRT, blev aldrig opdateret
Den dag i dag er der vaskemaskiner inficeret af Mirai, og de er ikke opdaterede, da de kun er en patch, som de skal lancere
Som det skete med HP-servere, patchede de aldrig Java, og det var en dækket sårbarhed for 2 år siden