Linux 操作系统因领有高稳定性、通用性、开源等个性,通常在 web 服务器、IoT、嵌入式开发、超级计算机等畛域作为首选操作系统。近年来,不仅互联网行业,政府、金融、教育、医疗、制造业、能源等行业也越来越多采纳 Linux 架构的办公零碎和服务器零碎。
无论是为了保护技术工程人员的开发平安,还是爱护企业的信息和财产平安,Linux 零碎终端的平安防护日益成为一个重要的课题。
企业用户更易成为 Linux 病毒攻打指标
依据火绒在线反对与响应平台相干信息统计,企业用户较个人用户更容易成为 Linux 平台病毒觊觎和攻打的对象,占比高达 91%。
长处泛滥的 Linux 操作系统并非没有被攻打的可能。随着 Linux 平台终端数量日渐增长,针对 Linux 平台的恶意程序也越来越多,且应用技术手段越来越简单。近年来,火绒用户所遇到的 Linux 平台病毒问题总体呈增多趋势,2021 年度有所降落,但进入 2022 年又有增长迹象,值得用户警觉。
Linux 平台病毒问题增长趋势图
Linux 平台病毒中蠕虫病毒占比近半
Linux 平台病毒问题次要为蠕虫病毒、勒索病毒、后门病毒,其中蠕虫病毒占比近半。在蠕虫病毒中最次要的歹意行为是歹意挖矿,歹意挖矿所需的技术和攻打老本较低,能给攻击者带来较高的非法收益,这也是近年来此类蠕虫病毒泛滥的次要起因。火绒用户所遇到 Linux 平台各类病毒的比例,如下图所示:
Linux 平台病毒类型占比
Linux 平台病毒通常具备肯定的长久化伎俩来进行自我爱护,给进攻和查杀带来艰难。针对以上病毒威逼态势,火绒平安企业版 Linux 终端产品“火绒终端平安管理系统 V2.0”曾经正式上线。产品具备齐全自主知识产权,适配各类国产支流操作系统和 CPU,可无效进攻各类 Linux 平台病毒,充沛满足企业级用户对终端的检测、查杀、管控等需要。
本报告将从风行病毒介绍、流传路径、病毒危害、病毒长久化伎俩和防备倡议等角度开展剖析阐明,为 Linux 平台病毒问题解决提供技术佐证。
风行病毒介绍
通过对 Linux 平台上近年来较为风行的病毒家族的剖析,咱们梳理了具备代表性的 8 种病毒,从类型、性能和流传伎俩等方面进行了分类演绎。如下图所示:
流传路径
Linux 平台病毒利用各种路径来进行流传,次要通过破绽和弱口令暴破进行流传,暴破流传次要以 SSH 暴破为主,破绽流传次要以各种 RCE 破绽为主。病毒传播流程图,如下所示:
弱口令暴破流传
Linux 平台病毒会针对 SSH、Tomcat、Wordpress 等网络服务进行弱口令暴破,弱口令暴破形式以 SSH 暴破为主,因为 SSH 协定利用场景的宽泛,绝大多数 Linux 终端都会开启 SSH 服务,导致 SSH 暴破曾经成为了 Linux 平台病毒的次要流传伎俩。SSH 暴破以云铲病毒为例,其应用开源库 libssh 对互联网的终端进行暴破,相干代码,如下图所示:
云铲病毒应用的暴破字典,如下图所示:
暴破胜利后,通过开源库 libssh 将本地的病毒文件上传至指标终端进行流传,相干代码,如下图所示:
向指标发送病毒模块并执行
Tomcat 和 Wordpress 暴破以 Sysrv-Hello 病毒为例,Tomcat 暴破代码,如下图所示:
WordPress 暴破代码,如下图所示:
破绽流传
Mirai、DDG Miner、Sysrv-Hello 病毒为例,这类病毒会内置破绽性能,对互联网或内网进行扫描,如果发现指标存在破绽,将对指标进行攻打,植入后门、挖矿等病毒模块,以 Sysrv-Hello 病毒为例,该病毒携带 20 余种流传伎俩,其中大部分破绽以 RCE 破绽为主,Sysrv-Hello 病毒利用的破绽列表,如下图所示:
Sysrv-Hello 病毒破绽流传的流程,通过随机生成互联网 IP 地址,对指标进行破绽检测,如果指标存在破绽就会执行对应的破绽利用代码进行流传,相干代码,如下图所示:
利用破绽近程执行 Shell 脚本进行横向流传。Linux 平台通过 echo 执行 Shell 脚本,相干代码,如下图所示:
人工浸透入侵流传
这种传播方式通常是攻击者利用各种伎俩如:浸透攻打、社工伎俩、钓鱼邮件、破绽利用等攻打伎俩针对某一企业或者单位进行人工浸透入侵,攻打胜利后再上传病毒模块,以勒索病毒为例,大部分勒索病毒本身并不携带任何流传伎俩,由攻击者进行人工浸透入侵,攻打胜利后上传勒索病毒模块,通过加密和窃取数据的形式对企业或单位进行巧取豪夺,从而取得高额的赎金进行获利。
病毒危害
挖矿
目前 Linux 平台病毒中最多的歹意行为是挖矿,攻击者在受害者不知情的状况下,通过各种伎俩入侵受害者终端植入挖矿程序,并且在后盾静默运行,抢占零碎大部分资源,造成电脑卡顿影响失常应用。以云铲病毒为例,相干代码,如下图所示:
后门
病毒通过各种伎俩在受害者的终端中留下后门,以下是几种常见的后门伎俩:
1.增加 SSH 公钥留下后门,以便攻击者进行 SSH 连贯,以云铲病毒为例,相干代码,如下图所示:
2.一些病毒自带后门性能如:执行 C &C 服务器下发的任意指令、执行 C &C 服务器下发的任意文件,以 H2Miner 病毒为例,相干代码,如下图所示:
DDoS 攻打
一些病毒会携带 DDoS 性能如:XorDdos、Mirai、8220Miner 等病毒,DDoS 攻打次要是攻击者利用受害者终端不间断的对某一指标发送网络封包,造成指标瘫痪。以 8220Miner 病毒举例,接管服务器下发的指令相干代码,如下图所示:
接管 C &C 服务器下发的指令
指令对应的 DDoS 功能表,如下图所示:
加密勒索
以 AvosLocker 勒索病毒为例,AvosLocker 勒索病毒寻找零碎中 VM ESXI 相干文件并应用 ECIES 和 Salsa20 加密算法对文件数据进行加密,相干代码,如下图所示:
寻找零碎中 VM ESXI 相干文件,相干代码,如下图所示:
文件加密相干代码,如下图所示:
AvosLocker 文件数据进行加密
勒索信相干内容,如下图所示:
长久化
病毒启动之后会应用长久化伎俩让本身继续运行,以下是 Linux 平台常见的长久化伎俩。
1.定时工作是 Linux 病毒罕用的长久化伎俩,可通过向 crontab 目录写入定时工作的形式,来定期执行 Shell 脚本。以 H2Miner 病毒举例相干代码,如下图所示:
2.增加 Linux 零碎服务,在 systemd/system 目录下为病毒模块创立一个服务配置文件,系统启动后,病毒会主动运行,以 H2Miner 病毒为例相干代码,如下图所示:
3.在 XorDdos 病毒中除了采纳以上形式进行长久化外,还创立了多个过程来避免主过程被敞开和避免病毒模块被删除,这类长久化过程经常伪装成零碎过程,难以排查,相干代码,如下图所示:
防备倡议
- 应用复杂度高的明码,防止零碎和各个软件应用雷同的明码
- 及时更新软件和零碎以及打漏洞补丁
- 进步本身安全意识,不要从第三方渠道下载软件,尽量从软件官网下载
- 批改默认端口如 SSH、Redis、FTP、MySQL 等,避免被扫描器暴破
- 禁用未应用的端口
- 定期备份重要的数据
- 不要点击生疏邮箱中的超链接和附件
- 严格控制 Root 权限,日常操作不要用 Root 权限进行