Una большой лжи и мифов, которые мы обычно слышим и очень часто читаю, что в «Линукс вирусов нет», «Linux не является мишенью для хакеров» и другие вещи, связанные с «Linux невосприимчив», что совершенно неверно...
Что, если мы можем положить наполовину правду и наполовину ложь, так это то, что Linux не имеет такого же количества вредоносных программ и атак со стороны хакеров. Это связано с простой и незатейливой причиной, так как на рынке linux он не представляет и 10% всех настольных компьютеров, поэтому в принципе не выгодно (так сказать) тратить большое количество времени и сил.
Но это далеко не так, это не задало тон число заражений вредоносными программами, нацеленными на устройства Linux, продолжает расти и это то, что для 2021 года сумма увеличилась на 35%, и это связано с тем, что устройства IoT чаще регистрируются для DDoS-атак (распределенный отказ в обслуживании).
IoT часто представляют собой «умные» устройства с низким энергопотреблением. которые работают с различными дистрибутивами Linux и ограничены определенной функциональностью. НО ТЕМ НЕМЕНЕЕ, когда их ресурсы объединяются в большие группы, они могут проводить массированные DDoS-атаки даже в хорошо защищенной инфраструктуре.
Помимо DDoS, устройства Linux IoT используются для майнинга криптовалюты, проведения спам-кампаний, действуют как ретрансляторы, действуют как серверы управления и контроля или даже действуют как точки входа в сети передачи данных.
Репортаж от Crowdstrike Анализ данных об атаках за 2021 год позволяет сделать следующие выводы:
- В 2021 году количество вредоносных программ, нацеленных на системы Linux, увеличилось на 35% по сравнению с 2020 годом.
- XorDDoS, Mirai и Mozi были наиболее распространенными семействами, на их долю приходилось 22% всех атак вредоносного ПО на Linux в 2021 году.
- Mozi, в частности, наблюдает взрывной рост бизнеса: за последний год в обращении было в десять раз больше образцов, чем годом ранее.
- XorDDoS также значительно увеличился на 123% по сравнению с прошлым годом.
Кроме того, в нем приводится краткое общее описание вредоносного ПО:
- XordDoS: — это универсальный троянец для Linux, который работает на нескольких системных архитектурах Linux, от ARM (IoT) до x64 (серверы). Он использует шифрование XOR для связи C2, отсюда и его название. При атаке на IoT-устройства переборщите XorDDoS-уязвимые устройства через SSH. На машинах Linux используйте порт 2375, чтобы получить беспарольный root-доступ к хосту. Примечательный случай распространения вредоносного ПО был показан в 2021 году после того, как китайский злоумышленник, известный как Winnti, развернул его вместе с другими дочерними ботнетами.
- Мози: — это ботнет P2P (одноранговая сеть), который использует систему поиска распределенной хеш-таблицы (DHT) для сокрытия подозрительных сообщений C2 от решений для мониторинга сетевого трафика. Этот конкретный ботнет существует уже довольно давно, постоянно добавляя новые уязвимости и расширяя охват.
- Смотреть: это печально известный ботнет, который породил множество форков благодаря своему общедоступному исходному коду и продолжает досаждать миру IoT. Различные производные реализуют разные протоколы связи C2, но все они часто злоупотребляют слабыми учетными данными, чтобы принудительно подключиться к устройствам.
В 2021 году было рассмотрено несколько известных вариантов Mirai, таких как «Dark Mirai», ориентированный на домашние маршрутизаторы, и «Moobot», ориентированный на камеры.
«Некоторые из наиболее распространенных вариантов, за которыми следят исследователи CrowdStrike, включают Sora, IZIH9 и Rekai», — объясняет в отчете исследователь CrowdStrike Михай Магану. «По сравнению с 2020 годом количество образцов, идентифицированных для этих трех вариантов, увеличилось на 33%, 39% и 83% соответственно в 2021 году».
Выводы Crowstrike не удивительны, как подтверждают сохраняющуюся тенденцию, наметившуюся в предыдущие годы. Например, отчет Intezer, посвященный статистике за 2020 год, показал, что количество семейств вредоносных программ для Linux в 40 году выросло на 2020% по сравнению с предыдущим годом.
За первые шесть месяцев 2020 года число вредоносных программ Golang увеличилось на 500%, что свидетельствует о том, что авторы вредоносных программ ищут способы заставить свой код работать на нескольких платформах.
Это программирование и, как следствие, тенденция к нацеливанию уже были подтверждены в случаях в начале 2022 года и, как ожидается, не ослабеют.
источник: https://www.crowdstrike.com/
разница в том, что нулевой день в Linux обычно исправляется менее чем за неделю (максимум), а в Windows некоторые никогда не решаются.
Разница в том, что архитектура и система разрешений Linux значительно усложняют получение повышенных разрешений от учетной записи пользователя...
И разница в том, что большую часть этой работы выполняют добровольцы с открытым исходным кодом, а не крупные корпорации, которые создают проприетарный код, чтобы скрыть от нас то, что происходит под ним. Opensource легко поддается аудиту.
Но, эй, вы правы в одном: если количество ваших пользователей увеличится, ресурсы для атаки на них и изучения уязвимостей увеличатся, если вы сможете получить от этого экономическую отдачу.
Так что это хорошая новость: число вредоносных программ для Linux растет. :)
А в IoT это будет 100% вина производителя, патч для многих роутеров Xiaomi, использующих OpenWRT, вышел через 2 дня после их заражения Mirai, Xiaomi обновлялся каждую неделю. Многие другие, такие как TP-Link, которые также используют OpenWRT, никогда не обновлялись.
По сей день есть стиральные машины, зараженные Mirai, и они не обновляются, а только патч, который они должны запустить.
Как и в случае с серверами HP, они никогда не исправляли Java, и 2 года назад эта уязвимость была закрыта.