een van de grote leugens en mythen die we gewoonlijk horen en heel vaak lezen is dat in “Linux er zijn geen virussen”, "Linux is geen doelwit voor hackers" en andere zaken die verband houden met "Linux is immuun", wat totaal onjuist is...
Wat als we halve waarheid en halve leugen kunnen stellen, is dat Linux niet dezelfde hoeveelheid malware en aanvallen van hackers heeft. Dit heeft een simpele en simpele reden, aangezien het in de linux-markt niet eens 10% van alle desktopcomputers vertegenwoordigt, dus het is in principe niet winstgevend (om zo te zeggen) om veel tijd en moeite te besteden.
Maar verre van dat, dat heeft nog niet de toon gezet voor het aantal malware-infecties gericht op Linux-apparaten blijft stijgen en het is dat voor wat 2021 was, het bedrag met 35% toenam en dit komt omdat IoT-apparaten vaker worden gemeld voor DDoS-aanvallen (distributed denial of service).
IoT's zijn vaak "slimme" apparaten met een laag stroomverbruik die verschillende Linux-distributies draaien en beperkt zijn tot specifieke functionaliteit. Desalniettemin, wanneer hun middelen worden gecombineerd tot grote groepen, kunnen ze massale DDoS-aanvallen lanceren zelfs in goed beveiligde infrastructuur.
Naast DDoS worden Linux IoT-apparaten aangeworven om cryptovaluta te delven, spamcampagnes te faciliteren, als relais te fungeren, als commando- en controleservers te fungeren of zelfs als toegangspoort tot datanetwerken.
Een verslag van Crowdstrike analyse van aanvalsgegevens uit 2021 vat het volgende samen:
- In 2021 was er een toename van 35% in malware gericht op Linux-systemen in vergelijking met 2020.
- XorDDoS, Mirai en Mozi waren de meest voorkomende families, goed voor 22% van alle malware-aanvallen op Linux die in 2021 werden gezien.
- Vooral Mozi heeft een explosieve groei doorgemaakt in het bedrijfsleven, met tien keer zoveel monsters in het afgelopen jaar in vergelijking met het jaar ervoor.
- XorDDoS zag ook een opmerkelijke stijging van 123% op jaarbasis.
Daarnaast geeft het een korte algemene beschrijving van de malware:
- XordDoS: is een veelzijdige Linux Trojan die werkt op meerdere Linux-systeemarchitecturen, van ARM (IoT) tot x64 (servers). Het gebruikt XOR-codering voor C2-communicatie, vandaar de naam. Bij het aanvallen van IoT-apparaten, brute force XorDDoS-kwetsbare apparaten via SSH. Gebruik op Linux-machines poort 2375 om wachtwoordloze root-toegang tot de host te krijgen. Een opmerkelijk geval van verspreiding van de malware werd in 2021 getoond nadat een Chinese bedreigingsacteur, bekend als "Winnti", werd waargenomen die het samen met andere spin-off-botnets implementeerde.
- Mozi: is een P2P (peer-to-peer) botnet dat vertrouwt op het Distributed Hash Table Lookup (DHT)-systeem om verdachte C2-communicatie te verbergen voor oplossingen voor netwerkverkeerscontrole. Dit specifieke botnet bestaat al geruime tijd, voegt voortdurend nieuwe kwetsbaarheden toe en vergroot zijn bereik.
- Kijk: het is een berucht botnet dat veel forks heeft voortgebracht vanwege de openbaar beschikbare broncode en blijft de wereld van IoT teisteren. De verschillende afgeleiden implementeren verschillende C2-communicatieprotocollen, maar ze maken allemaal vaak misbruik van zwakke referenties om zichzelf in apparaten te forceren.
Verschillende opmerkelijke Mirai-varianten kwamen in 2021 aan de orde, zoals "Dark Mirai", dat zich richt op thuisrouters, en "Moobot", dat zich richt op camera's.
"Sora, IZIH9 en Rekai zijn enkele van de meest voorkomende varianten die door CrowdStrike-onderzoekers worden gevolgd", legt CrowdStrike-onderzoeker Mihai Maganu uit in het rapport. "Vergeleken met 2020 is het aantal geïdentificeerde monsters voor deze drie varianten in 33 met respectievelijk 39%, 83% en 2021% gestegen."
Crowstrike's bevindingen zijn niet verrassend, sinds bevestigen een aanhoudende trend die zich de afgelopen jaren heeft voorgedaan. Zo bleek uit een Intezer-rapport dat de statistieken van 2020 bekijkt, dat Linux-malwarefamilies in 40 met 2020% zijn gegroeid in vergelijking met het voorgaande jaar.
In de eerste zes maanden van 2020 was er een flinke toename van 500% in Golang-malware, wat aantoont dat malwareschrijvers op zoek zijn naar manieren om hun code op meerdere platforms te laten werken.
Deze programmering, en bij uitbreiding de targeting-trend, is begin 2022 al in gevallen bevestigd en zal naar verwachting onverminderd doorgaan.
bron: https://www.crowdstrike.com/
het verschil is dat een nul-dag op Linux meestal in minder dan een week (maximaal) wordt gepatcht en op Windows worden sommige nooit opgelost.
Het verschil is dat het machtigingssysteem en de architectuur van Linux het veel moeilijker maken om verhoogde machtigingen van een gebruikersaccount te krijgen...
En het verschil is dat het meeste van dit werk wordt gedaan door open source-vrijwilligers en niet door grote bedrijven die propriëtaire code maken om voor ons te verbergen wat eronder gebeurt. De Opensource is gemakkelijk te controleren.
Maar hey, je hebt gelijk over één ding, als je gebruikers toenemen, zullen de middelen om ze aan te vallen en kwetsbaarheden te onderzoeken toenemen als je er economisch rendement mee kunt behalen.
Het is dus goed nieuws dat Linux-malware in opkomst is. :)
En in IoT zal het 100% de schuld zijn van de fabrikant, de patch voor veel Xiaomi-routers die OpenWRT gebruiken werd 2 dagen nadat ze door Mirai waren geïnfecteerd uitgebracht, Xiaomi werd elke week bijgewerkt. Vele anderen, zoals TP-Link die ook OpenWRT gebruiken, zijn nooit bijgewerkt
Tot op de dag van vandaag zijn er wasmachines die zijn geïnfecteerd door Mirai en deze worden niet bijgewerkt, omdat het slechts een patch is die ze moeten lanceren
Zoals gebeurde met HP-servers, hebben ze Java nooit gepatcht en het was 2 jaar geleden een gedekte kwetsbaarheid