en av de store løgnene og mytene vi vanligvis hører og les veldig ofte er det i "Linux det er ingen virus", "Linux er ikke et mål for hackere" og andre ting relatert til "Linux er immun", som er totalt usant...
Hva om vi kan sette halvt sannhet og halvt løgn, er at Linux ikke har samme mengde malware og angrep fra hackere. Dette skyldes en enkel og enkel grunn, siden det i Linux-markedet ikke representerer engang 10% av alle stasjonære datamaskiner, så det er i utgangspunktet ikke lønnsomt (så å si) å bruke mye tid og krefter.
Men langt ifra har det ikke satt tonen for Antallet skadelig programvare-infeksjoner rettet mot Linux-enheter fortsetter å øke og det er at for det som var 2021 økte beløpet med 35 %, og dette er fordi IoT-enheter rapporteres hyppigere for DDoS-angrep (distribuert tjenestenekt).
IoT er ofte "smarte" enheter med lav effekt som kjører forskjellige Linux-distribusjoner og er begrenset til spesifikk funksjonalitet. Men uansett, når ressursene deres kombineres i store grupper, kan de starte massive DDoS-angrep selv i godt beskyttet infrastruktur.
I tillegg til DDoS, rekrutteres Linux IoT-enheter for å utvinne kryptovaluta, legge til rette for spamkampanjer, fungere som reléer, fungere som kommando- og kontrollservere, eller til og med fungere som inngangspunkter til datanettverk.
En rapport fra Crowdstrike å analysere angrepsdata fra 2021 oppsummerer følgende:
- I 2021 var det en økning på 35 % i skadelig programvare rettet mot Linux-systemer sammenlignet med 2020.
- XordDoS, Mirai og Mozi var de mest utbredte familiene, og sto for 22 % av alle malware-angrep rettet mot Linux sett i 2021.
- Spesielt Mozi har hatt en eksplosiv vekst i virksomheten, med ti ganger så mange prøver som sirkulerte det siste året sammenlignet med året før.
- XordDoS hadde også en bemerkelsesverdig økning på 123 % fra år til år.
I tillegg gir den en kort generell beskrivelse av skadelig programvare:
- XordDoS: er en allsidig Linux-trojaner som fungerer på flere Linux-systemarkitekturer, fra ARM (IoT) til x64 (servere). Den bruker XOR-kryptering for C2-kommunikasjon, derav navnet. Når du angriper IoT-enheter, må du brute force XordDoS-sårbare enheter via SSH. På Linux-maskiner, bruk port 2375 for å få passordløs root-tilgang til verten. Et bemerkelsesverdig tilfelle av distribusjon av skadelig programvare ble vist i 2021 etter at en kinesisk trusselaktør kjent som "Winnti" ble observert som distribuerte den sammen med andre spin-off-botnett.
- Mozi: er et P2P (peer-to-peer) botnett som er avhengig av Distributed Hash Table Lookup (DHT)-systemet for å skjule mistenkelig C2-kommunikasjon fra nettverkstrafikkovervåkingsløsninger. Dette spesielle botnettet har eksistert i ganske lang tid, og har kontinuerlig lagt til nye sårbarheter og utvidet rekkevidden.
- Se: det er et beryktet botnett som har skapt mange gafler på grunn av den offentlig tilgjengelige kildekoden og fortsetter å plage IoT-verdenen. De forskjellige derivatene implementerer forskjellige C2-kommunikasjonsprotokoller, men de misbruker ofte svake legitimasjoner for å tvinge seg inn i enheter.
Flere bemerkelsesverdige Mirai-varianter ble dekket i 2021, for eksempel "Dark Mirai", som fokuserer på hjemmerutere, og "Moobot", som retter seg mot kameraer.
"Noen av de mest utbredte variantene etterfulgt av CrowdStrike-forskere involverer Sora, IZIH9 og Rekai," forklarer CrowdStrike-forsker Mihai Maganu i rapporten. "Sammenlignet med 2020 økte antallet prøver identifisert for disse tre variantene med henholdsvis 33%, 39% og 83% i 2021."
Crowstrikes funn er ikke overraskende, som bekrefte en vedvarende trend som har dukket opp tidligere år. For eksempel fant en Intezer-rapport som ser på 2020-statistikk at Linux-malwarefamilier vokste med 40 % i 2020 sammenlignet med året før.
I de første seks månedene av 2020 var det en kraftig økning på 500 % i Golang-malware, noe som viser at skadevareforfattere leter etter måter å få koden sin til å fungere på tvers av flere plattformer.
Denne programmeringen, og i forlengelsen av målrettingstrenden, er allerede bekreftet i tilfeller tidlig i 2022 og forventes å fortsette med uforminsket styrke.
Fuente: https://www.crowdstrike.com/
forskjellen er at en nulldag på linux vanligvis lappes på mindre enn en uke (på det meste) og på Windows blir noen aldri løst.
Forskjellen er at Linuxs arkitektur og tillatelsessystem gjør det mye vanskeligere å få forhøyede tillatelser fra en brukerkonto...
Og forskjellen er at det meste av dette arbeidet gjøres av frivillige med åpen kildekode og ikke av store selskaper som lager proprietær kode for å skjule for oss hva som skjer under. Opensource er lett å revidere.
Men hei, du har rett i én ting, hvis brukerne dine øker, vil ressursene til å angripe dem og utforske sårbarheter øke hvis du kan få økonomisk avkastning med det.
Så det er gode nyheter at Linux malware er på vei oppover. :)
Og i IoT vil det være 100% produsentens feil, oppdateringen for mange Xiaomi-rutere som bruker OpenWRT ble utgitt 2 dager etter at de ble infisert av Mirai, Xiaomi ble oppdatert hver uke. Mange andre som TP-Link som også bruker OpenWRT ble aldri oppdatert
Til i dag er det vaskemaskiner infisert av Mirai, og de er ikke oppdatert, og er bare en oppdatering som de må lansere
Som skjedde med HP-servere, lappet de aldri Java, og det var en dekket sårbarhet for to år siden