egy a nagy hazugságokról és mítoszokról, amelyeket általában hallunk és nagyon gyakran olvasni, ez benne van "Linuxban nincsenek vírusok" "A Linux nem a hackerek célpontja" és a "Linux immunis"-hoz kapcsolódó egyéb dolgok, ami teljesen hamis...
Mi van, ha félig igazságot és félig hazugságot fogalmazhatunk meg, az az, hogy a Linux nem rendelkezik ugyanannyi kártevővel és hackertámadásokkal. Ennek egy egyszerű és egyszerű oka van, hiszen a linux piacon az asztali számítógépek 10%-át sem képviseli, így alapvetően nem kifizetődő (úgymond) sok időt és energiát ráfordítani.
De messze nem ez adta meg az alaphangot a Linux-eszközöket célzó rosszindulatú programok száma tovább növekszik és ez az, hogy 2021-ben az összeg 35%-kal nőtt, és ennek az az oka, hogy az IoT-eszközöket gyakrabban jelentik DDoS-támadások (elosztott szolgáltatásmegtagadás) miatt.
Az IoT-k gyakran alacsony fogyasztású „okos” eszközök amelyek különféle Linux-disztribúciókat futtatnak, és meghatározott funkciókra korlátozódnak. Mindazonáltal, Amikor erőforrásaikat nagy csoportokba egyesítik, hatalmas DDoS-támadásokat indíthatnak még jól védett infrastruktúrában is.
A DDoS mellett a Linux IoT eszközöket kriptovaluta bányászatára, spamkampányok elősegítésére, közvetítőként, parancs- és vezérlőszerverként, vagy akár adathálózatok belépési pontjaként toborozzák.
A Crowdstrike riportja a 2021-es támadási adatok elemzése a következőket foglalja össze:
- 2021-ben 35%-kal nőtt a Linux rendszereket célzó rosszindulatú programok száma 2020-hoz képest.
- Az XorDDoS, a Mirai és a Mozi voltak a legelterjedtebb családok, amelyek a Linuxot célzó összes rosszindulatú támadás 22%-át tették ki 2021-ben.
- Különösen a Moziban volt robbanásszerű növekedés az üzleti életben, tízszer annyi minta keringett az elmúlt évben, mint egy évvel korábban.
- A XorDDoS is figyelemre méltó, 123%-os növekedést ért el éves szinten.
Ezenkívül rövid általános leírást ad a rosszindulatú programokról:
- XordDoS: egy sokoldalú Linux trójai, amely többféle Linux rendszerarchitektúrán működik, az ARM-től (IoT) az x64-ig (szerverekig). XOR titkosítást használ a C2 kommunikációhoz, innen ered a neve. Az IoT-eszközök támadásakor nyers erővel kényszerítse a XorDDoS sebezhető eszközöket SSH-n keresztül. Linuxos gépeken használja a 2375-ös portot, hogy jelszó nélküli root hozzáférést kapjon a gazdagéphez. A rosszindulatú program terjesztésének figyelemre méltó esetét 2021-ben mutatták be, miután egy „Winnti” néven ismert kínai fenyegetést figyeltek meg, amint azt más spin-off botnetekkel együtt telepítette.
- Mozi: egy P2P (peer-to-peer) botnet, amely a Distributed Hash Table Lookup (DHT) rendszerre támaszkodik, hogy elrejtse a gyanús C2-kommunikációt a hálózati forgalomfigyelő megoldások elől. Ez a bizonyos botnet már jó ideje létezik, folyamatosan új sérülékenységeket ad hozzá, és kiterjeszti hatókörét.
- Néz: ez egy hírhedt botnet, amely nyilvánosan elérhető forráskódja miatt számos elágazást szült, és továbbra is sújtja az IoT világát. A különféle származékok különböző C2 kommunikációs protokollokat valósítanak meg, de mindegyik gyakran visszaél gyenge hitelesítő adatokkal, hogy eszközökbe kényszerítse magát.
2021-ben számos figyelemre méltó Mirai-változat került bemutatásra, mint például a "Dark Mirai", amely az otthoni útválasztókra összpontosít, és a "Moobot", amely a kamerákat célozza meg.
„A CrowdStrike kutatói által követett legelterjedtebb változatok közül néhány a Sora, az IZIH9 és a Rekai” – magyarázza Mihai Maganu, a CrowdStrike kutatója a jelentésben. "2020-hoz képest az ehhez a három változathoz azonosított minták száma 33%-kal, 39%-kal, illetve 83%-kal nőtt 2021-ben."
A Crowstrike megállapításai nem meglepőek, óta megerősítik a korábbi években kialakult tendenciát. Például egy Intezer-jelentés, amely a 2020-as statisztikákat vizsgálta, megállapította, hogy a Linux kártevőcsaládok száma 40%-kal nőtt 2020-ban az előző évhez képest.
2020 első hat hónapjában a Golang kártevők számának 500%-os növekedése volt tapasztalható, ami azt mutatja, hogy a rosszindulatú programok írói keresik a módját annak, hogy kódjuk több platformon is működjön.
Ezt a programozást, és ezen belül a célzási trendet, 2022 elején már megerősítették, és várhatóan változatlan marad.
forrás: https://www.crowdstrike.com/
a különbség az, hogy egy nulladik napot linuxon általában kevesebb, mint egy hét alatt javítanak ki (legfeljebb), és Windowson néhányat soha nem oldanak meg.
A különbség az, hogy a Linux architektúrája és engedélyrendszere sokkal nehezebbé teszi a magasabb szintű engedélyek beszerzését egy felhasználói fiókból...
És a különbség az, hogy ennek a munkának a nagy részét nyílt forráskódú önkéntesek végzik, nem pedig olyan nagyvállalatok, amelyek saját kódot hoznak létre, hogy elrejtse előlünk, mi történik alatta. Az Opensource könnyen auditálható.
De hé, egy dologban igazad van, ha a felhasználók száma növekedni fog, akkor megnövekednek a megtámadásukra és a sebezhetőségek feltárására szolgáló erőforrások, ha gazdasági megtérülést érhetsz el vele.
Jó hír tehát, hogy a Linux rosszindulatú programjai egyre terjednek. :)
Az IoT-ben pedig 100%-ban a gyártó hibája lesz, sok OpenWRT-t használó Xiaomi routerhez a patch 2 nappal a Mirai általi fertőzés után jelent meg, a Xiaomi pedig hetente frissült. Sok más, például az OpenWRT-t használó TP-Link soha nem frissült
A mai napig vannak Mirai által megfertőzött mosógépek, és nem frissítik őket, csak egy javítás, amelyet el kell indítani.
Ahogy a HP szervereknél történt, soha nem javították a Java-t, és ez egy fedett biztonsági rés volt 2 évvel ezelőtt