Linux入侵 — 一个日益严峻的问题-CSDN博客

作者：Tarot Wake 翻译：Doris Liu 转载请注明

概述

尽管攻击者的最终目标始终如一，但网络安全形势却在不断变化。从国家/州支持的行动者到有组织的犯罪团伙，Linux系统越来越频繁地成为威胁分子的攻击目标。TechJury和Trend Micro的报告（2023年中期）指出，以Linux系统为目标的攻击，特别是恶意软件部署，总体呈显著增加趋势。

威胁活动的增加要求网络安全专业人员熟知并采取积极的应对措施。我们必须了解攻击者的行为，并能够采取正确的措施进行检测和应对。

不断变化的威胁形势

1.日益严重的Linux恶意软件威胁

TechJury的报告指出"2023年，基于Linux系统的数字威胁呈上升趋势，2022年威胁数量超过190万个，同比增长近50%"。

Trend Micro的类似调查结果表明，从2022年第一季度到2023年，Linux勒索软件的攻击企图增加了62%，这是一个令人担忧的趋势。

综合来看，这反映了一个现实，即我们的对手会不断寻找方法来获取敏感信息或有价值的数据。

长期以来，人们一直认为"Linux对恶意软件免疫"（Trend Micro 的报告打破了这一神话），但事实却大相径庭。不幸的是，由于Linux环境中的安全工具普遍有局限性（而且这些工具的功能往往较弱），即使是像 Meterpreter shell 这样的基本载荷也可以非常有效。

2.已识别的主要威胁类型

TechJury将Linux面临的主要威胁归类为"勒索软件、僵尸网络、加密劫持和恶意软件"，并列举了每种威胁的详细示例。

Trend Micro对此表示赞同，强调Linux生态系统中"网站后门"和"勒索软件"的威胁非常普遍。

这再次表明了对手团队的灵活性，以及他们利用防御者失误的意愿。Linux勒索软件的增加不足为奇，因为犯罪集团总是在寻找新的盈利方式。

有一个领域可能会让以Windows为中心的安全人员大吃一惊，那就是Rootkit在Linux攻击中的盛行。作为开源和社区驱动的操作系统，Linux不像Windows那样有统一的强制驱动程序签名政策。相反，Linux中的驱动程序签名更加灵活和分散。虽然Linux系统支持签名驱动程序（某些发行版或特定执行可能会在一定程度上强制或鼓励签名），但内核本身并不严格要求所有驱动程序都必须签名。这导致内核级驱动程序rootkit在Linux设备上更为常见。

Recorded Future 在2023年8月发布的一份报告强调了这一点，并指出我们是如何看到勒索软件与易受攻击的驱动程序/Rootkit相结合的趋势，为犯罪分子植入恶意软件提供了更大的灵活性。Recorded Future的报告延续了Dark Reading在2023年7月发布的报告，讨论了这一趋势如何对关键基础设施构成重大风险。

3.已暴露的漏洞

Trend Micro重点介绍了CVE-2021-44228（Apache Log4j）和CVE-2018-15473（OpenSSH）等关键漏洞，指出即使是核心Linux服务也可能存在漏洞。这也是一个很好的提醒，因为开放源代码，所以很多人都可以阅读源代码，但这并不意味着他们都真正阅读过。

TechJury补充说，由于延迟打补丁，过时的漏洞仍然是一个重大风险。Linux系统尤其如此，因为它经常面临双重问题：资产所有者认为它"优先级低"，又以较低的停机容差运行关键资产。

尽管Linux系统越来越流行，但"Linux在桌面上"的目标还需要几年时间才能实现。如今，大多数部署都是针对服务器和服务的。这意味着，传统的网络钓鱼攻击不太可能有效地访问Linux环境（尽管窃取凭证信息的情况仍然很普遍）。相反，大多数Linux攻击实际上是服务端攻击，一般涉及漏洞利用。

4.新兴恶意软件策略

据Trend Micro称，高级持续威胁（APT）组织正在利用BPF过滤器安装后门程序，这给恶意软件检测带来了新的挑战。

TechJury注意到RansomExx等恶意软件的适应性，凸显了网络犯罪分子针对Linux服务器的战术策略在不断演变。

网络安全的历史就像是一场与威胁行动者的猫鼠游戏。随着新攻击的开发和发现，防御者和事件响应者会改变行为策略以减轻威胁。这也导致攻击者不断进化，以躲避检测/防御。在不久的将来，我们可能看不到这种循环的结束。最近攻击者行为的变化就是这种持续斗争的例证，使用BPF过滤漏洞就是一个很好的例子。虽然不可能预测未来，但这确实意味着任何从事安全工作的人都必须花费大量时间去迎合不断变化的趋势和行为。