A wielkich kłamstw i mitów, które zwykle słyszymy i bardzo często czyta się, że w „Linux nie ma wirusów”, „Linux nie jest celem hakerów” i inne rzeczy związane z „Linux jest odporny”, co jest całkowicie fałszywe...
Co jeśli możemy umieścić w połowie prawdę, a w połowie kłamstwo, to to, że Linux nie ma takiej samej ilości złośliwego oprogramowania i ataków hakerów. Wynika to z prostego i prostego powodu, ponieważ na rynku linux nie stanowi on nawet 10% wszystkich komputerów stacjonarnych, więc w zasadzie nie opłaca się (że tak powiem) poświęcać dużej ilości czasu i wysiłku.
Ale daleko od tego, to nie nadało tonu liczba infekcji złośliwym oprogramowaniem atakującym urządzenia z systemem Linux stale rośnie i to dlatego, że w 2021 r. kwota wzrosła o 35%, a to dlatego, że urządzenia IoT są częściej zgłaszane pod kątem ataków DDoS (rozproszona odmowa usługi).
IoT to często „inteligentne” urządzenia o niskim poborze mocy które obsługują różne dystrybucje Linuksa i są ograniczone do określonej funkcjonalności. Niemniej jednak, gdy ich zasoby zostaną połączone w duże grupy, mogą przeprowadzać masowe ataki DDoS nawet w dobrze chronionej infrastrukturze.
Oprócz DDoS, urządzenia Linux IoT są rekrutowane do wydobywania kryptowalut, ułatwiania kampanii spamowych, pełnienia funkcji przekaźników, serwerów dowodzenia i kontroli, a nawet punktów wejścia do sieci danych.
Raport z Crowdstrike analiza danych o atakach z 2021 r. podsumowuje:
- W 2021 r. w porównaniu z 35 r. liczba złośliwego oprogramowania atakującego systemy Linux wzrosła o 2020%.
- Najbardziej rozpowszechnionymi rodzinami były XorDDoS, Mirai i Mozi, które stanowiły 22% wszystkich ataków szkodliwego oprogramowania wymierzonego w system Linux w 2021 r.
- W szczególności Mozi odnotował gwałtowny wzrost w biznesie, z dziesięciokrotnie większą liczbą próbek w obiegu w ciągu ostatniego roku w porównaniu z rokiem poprzednim.
- XorDDoS odnotował również znaczący wzrost o 123% rok do roku.
Ponadto zawiera krótki ogólny opis złośliwego oprogramowania:
- XordDoS: to wszechstronny trojan dla systemu Linux, który działa na wielu architekturach systemu Linux, od ARM (IoT) do x64 (serwery). Wykorzystuje szyfrowanie XOR do komunikacji C2, stąd jego nazwa. Podczas atakowania urządzeń IoT brute force podatne na ataki XorDDoS urządzenia przez SSH. Na komputerach z systemem Linux użyj portu 2375, aby uzyskać dostęp do hosta bez hasła. Godny uwagi przypadek dystrybucji szkodliwego oprogramowania został pokazany w 2021 r., po tym, jak zaobserwowano chińskiego cyberprzestępcę znanego jako „Winnti”, który wdrażał go wraz z innymi botnetami typu spin-off.
- Kino: to botnet P2P (peer-to-peer), który opiera się na systemie Distributed Hash Table Lookup (DHT), aby ukryć podejrzaną komunikację C2 przed rozwiązaniami do monitorowania ruchu sieciowego. Ten konkretny botnet istnieje już od dłuższego czasu, stale dodając nowe luki w zabezpieczeniach i zwiększając swój zasięg.
- Wyglądać: jest to znany botnet, który zrodził wiele forków ze względu na swój publicznie dostępny kod źródłowy i nadal nęka świat IoT. Różne pochodne implementują różne protokoły komunikacyjne C2, ale wszystkie często wykorzystują słabe dane uwierzytelniające, aby wmusić się w urządzenia.
W 2021 r. uwzględniono kilka godnych uwagi wariantów Mirai, takich jak „Dark Mirai”, który koncentruje się na routerach domowych, oraz „Moobot”, który atakuje kamery.
„Niektóre z najbardziej rozpowszechnionych wariantów śledzonych przez badaczy z CrowdStrike obejmują Sorę, IZIH9 i Rekai” – wyjaśnia badacz CrowdStrike Mihai Maganu w raporcie. „W porównaniu z 2020 r. liczba próbek zidentyfikowanych dla tych trzech wariantów wzrosła odpowiednio o 33%, 39% i 83% w 2021 r.”
Odkrycia Crowstrike nie są zaskakujące, od kiedy potwierdzają kontynuację trendu, który pojawił się w poprzednich latach. Na przykład raport firmy Intezer dotyczący statystyk z 2020 r. wykazał, że rodziny złośliwego oprogramowania dla Linuksa wzrosły w 40 r. o 2020% w porównaniu z rokiem poprzednim.
W pierwszych sześciu miesiącach 2020 r. nastąpił aż 500% wzrost liczby złośliwego oprogramowania Golang, co pokazuje, że twórcy złośliwego oprogramowania szukają sposobów, aby ich kod działał na wielu platformach.
Programowanie to, a co za tym idzie, tendencja do kierowania, została już potwierdzona w przypadkach na początku 2022 r. i oczekuje się, że będzie kontynuowana w sposób niesłabnący.
źródło: https://www.crowdstrike.com/
różnica polega na tym, że dzień zerowy na linuksie jest zwykle łatany w czasie krótszym niż tydzień (najwyżej), a w systemie Windows niektóre nigdy nie są naprawiane.
Różnica polega na tym, że architektura i system uprawnień Linuksa znacznie utrudniają uzyskanie podwyższonych uprawnień z konta użytkownika...
Różnica polega na tym, że większość tej pracy jest wykonywana przez wolontariuszy open source, a nie przez wielkie korporacje, które tworzą zastrzeżony kod, aby ukryć przed nami to, co dzieje się pod spodem. Opensource jest łatwy do audytu.
Ale hej, masz rację co do jednego, jeśli zwiększysz liczbę użytkowników, zasoby do ich atakowania i odkrywania słabych punktów wzrosną, jeśli możesz uzyskać dzięki temu zyski ekonomiczne.
Więc to dobra wiadomość, że złośliwe oprogramowanie dla Linuksa rośnie. :)
A w IoT będzie to w 100% wina producenta, łatka dla wielu routerów Xiaomi korzystających z OpenWRT została wydana 2 dni po tym, jak zostały zainfekowane przez Mirai, Xiaomi było aktualizowane co tydzień. Wiele innych, takich jak TP-Link, które również korzystają z OpenWRT, nigdy nie zostało zaktualizowanych
Do dziś pralki są zainfekowane przez Mirai i nie są aktualizowane, są jedynie łatką, którą muszą uruchomić
Jak to się stało z serwerami HP, nigdy nie załatali Javy i była to zakryta luka 2 lata temu