Una про велику брехню та міфи, які ми зазвичай чуємо і дуже часто читати це в «У Linux немає вірусів», "Linux не є мішенню для хакерів" та інші речі, пов'язані з "Linux захищений", що абсолютно неправда...
Що, якщо ми можемо сказати наполовину правду, а наполовину брехню, це те, що Linux не має такої ж кількості шкідливих програм і атак з боку хакерів. Це пов'язано з простою і простою причиною, оскільки на ринку Linux він не становить і 10% всіх настільних комп'ютерів, тому витрачати велику кількість часу і сил в принципі невигідно (так би мовити).
Але далеко від цього, це не задає тон кількість заражень шкідливим програмним забезпеченням, спрямованих на пристрої Linux, продовжує зростати і це те, що за 2021 рік сума зросла на 35%, і це тому, що пристрої IoT частіше повідомляються про DDoS-атаки (розподілена відмова в обслуговуванні).
IoT часто є «розумними» пристроями з низькою потужністю які запускають різні дистрибутиви Linux і обмежені певною функціональністю. Але тим не менш, коли їхні ресурси об’єднуються у великі групи, вони можуть запускати масові DDoS-атаки навіть у добре захищеній інфраструктурі.
На додаток до DDoS, пристрої Linux IoT залучаються для майнінгу криптовалюти, сприяння спам-кампаніям, ретрансляторів, командних серверів або навіть точок входу в мережі даних.
Звіт Crowdstrike Аналіз даних про атаки за 2021 рік підсумовує наступне:
- У 2021 році кількість шкідливих програм, спрямованих на системи Linux, зросла на 35% порівняно з 2020 роком.
- XorDDoS, Mirai і Mozi були найпоширенішими сімействами, на які припадало 22% усіх атак зловмисного програмного забезпечення, спрямованих на Linux, які спостерігалися у 2021 році.
- У Mozi, зокрема, спостерігається вибухове зростання бізнесу: за останній рік було в десятки разів більше зразків порівняно з попереднім роком.
- Крім того, XorDDoS збільшився на 123% у порівнянні з минулим роком.
Крім того, він містить короткий загальний опис шкідливого програмного забезпечення:
- XordDoS: — це універсальний троян Linux, який працює на багатьох системних архітектурах Linux, від ARM (IoT) до x64 (сервери). Він використовує шифрування XOR для зв’язку C2, звідси його назва. Під час атаки на пристрої Інтернету речей перебір уразливих пристроїв XorDDoS через SSH. На машинах Linux використовуйте порт 2375, щоб отримати безпарольний root-доступ до хоста. Помітний випадок розповсюдження зловмисного програмного забезпечення був показаний у 2021 році після того, як китайський актор, відомий як «Winnti», розгорнув його разом з іншими додатковими ботнетами.
- Мозі: — це P2P (peer-to-peer) ботнет, який покладається на систему пошуку розподіленої хеш-таблиці (DHT), щоб приховати підозрілі повідомлення C2 від рішень моніторингу мережевого трафіку. Цей конкретний ботнет існує вже досить довго, постійно додаючи нові вразливості та розширюючи охоплення.
- Подивіться: це горезвісний ботнет, який породив багато форків завдяки своєму загальнодоступному вихідному коду і продовжує боротися з Інтернетом речей. Різні похідні реалізують різні протоколи зв’язку C2, але всі вони часто зловживають слабкими обліковими даними, щоб примусово ввійти в пристрої.
У 2021 році було розглянуто кілька відомих варіантів Mirai, як-от «Dark Mirai», який фокусується на домашніх маршрутизаторах, і «Moobot», який націлений на камери.
«Деякі з найпоширеніших варіантів, за якими слідують дослідники CrowdStrike, включають Sora, IZIH9 та Rekai», — пояснює у звіті дослідник CrowdStrike Міхай Магану. «Порівняно з 2020 роком кількість зразків, ідентифікованих для цих трьох варіантів, у 33 році зросла на 39%, 83% та 2021% відповідно».
Висновки Crowstrike не є дивними, з підтверджують тенденцію, що зберігається в попередні роки. Наприклад, звіт Intezer із статистикою за 2020 рік показав, що сімейства шкідливих програм Linux зросли на 40% у 2020 році порівняно з попереднім роком.
За перші шість місяців 2020 року кількість шкідливих програм Golang зросла на 500%, що свідчить про те, що автори зловмисного програмного забезпечення шукають способи змусити свій код працювати на кількох платформах.
Це програмування і, відповідно, тенденція націлювання, вже були підтверджені у випадках на початку 2022 року і, як очікується, триватимуть безперервно.
Фуенте: https://www.crowdstrike.com/
різниця в тому, що нульовий день у Linux зазвичай виправляється менше ніж за тиждень (максимум), а в Windows деякі з них ніколи не вирішуються.
Різниця в тому, що архітектура та система дозволів Linux значно ускладнюють отримання підвищених дозволів від облікового запису користувача...
І різниця в тому, що більшість цієї роботи виконується волонтерами з відкритим кодом, а не великими корпораціями, які створюють власний код, щоб приховати від нас те, що відбувається під ним. Opensource легко перевіряється.
Але в одному ви маєте рацію: якщо кількість ваших користувачів збільшується, ресурси для їх атаки та дослідження вразливостей зростуть, якщо ви зможете отримати економічний прибуток від цього.
Тож це хороша новина, що кількість шкідливих програм Linux зростає. :)
А в IoT це буде 100% провина виробника, патч для багатьох роутерів Xiaomi, які використовують OpenWRT, був випущений через 2 дні після того, як вони були заражені Mirai, Xiaomi оновлювався щотижня. Багато інших, таких як TP-Link, які також використовують OpenWRT, ніколи не оновлювались
На сьогоднішній день існують пральні машини, заражені Mirai, і вони не оновлюються, це лише патч, який вони повинні запустити
Як це сталося з серверами HP, вони ніколи не виправляли Java, і 2 роки тому це була прикрита вразливість