Linuxový malware - Linux malware

Linuxový malware zahrnuje viry , trojské koně , červy a další typy malwaru, které ovlivňují operační systém Linux . Linux, Unix a další unixové počítačové operační systémy jsou obecně považovány za velmi dobře chráněné proti počítačovým virům , ale nejsou vůči nim imunní .

Nedošlo k žádnému rozšířenému viru nebo malwaru typu Linux, který je běžný v systému Microsoft Windows ; to lze obecně přičíst nedostatku malwaru v přístupu root a rychlým aktualizacím většiny zranitelností Linuxu.

Zranitelnost Linuxu

Stejně jako systémy Unix, Linux implementuje víceuživatelské prostředí, kde jsou uživatelům udělena specifická oprávnění a je implementována určitá forma řízení přístupu. Aby malware získal kontrolu nad systémem Linux nebo způsobil vážné důsledky samotnému systému, musel by do systému získat přístup root.

V minulosti se předpokládalo, že Linux má tak málo malwaru, protože jeho nízký podíl na trhu z něj činí méně ziskový cíl. Rick Moen, zkušený správce systému Linux, počítá s tím, že:

[Tento argument] ignoruje dominanci Unixu v řadě jiných než desktopových specialit, včetně webových serverů a vědeckých pracovních stanic. Autor virů/trojských koní/červů, který by se úspěšně zaměřil konkrétně na webové servery Apache httpd Linux/x86, by měl prostředí extrémně bohaté na cíle a okamžitě by si získal trvalou slávu, a přesto se to nestane.

V roce 2008 bylo zaznamenáno, že se množství malwaru zaměřeného na Linux zvyšuje. Shane Coursen, vedoucí technický poradce společnosti Kaspersky Lab , tehdy řekl: „Růst malwaru Linux je jednoduše způsoben jeho rostoucí popularitou, zejména jako desktopový operační systém ... Použití operačního systému přímo souvisí s autoři malwaru mají zájem vyvinout malware pro tento operační systém. “

Tom Ferris, výzkumník bezpečnostních protokolů, se vyjádřil k jedné ze zpráv společnosti Kaspersky a prohlásil: „V myslích lidí, pokud to není systém Windows, je to zabezpečené a není tomu tak. Myslí si, že nikdo nepíše malware pro Linux nebo Mac OS X. Ale to nemusí být nutně pravda. “

Někteří uživatelé Linuxu používají antivirový software založený na Linuxu ke skenování nezabezpečených dokumentů a e-mailů, které pocházejí od uživatelů systému Windows nebo jdou k nim. Scott Granneman z SecurityFocus uvedl:

... některé linuxové stroje rozhodně potřebují antivirový software. Servery Samba nebo NFS mohou například ukládat dokumenty v nezdokumentovaných a zranitelných formátech Microsoft, jako jsou Word a Excel, které obsahují a šíří viry. Poštovní servery Linux by měly spouštět software AV, aby neutralizovaly viry, než se objeví v poštovních schránkách uživatelů aplikace Outlook a Outlook Express.

Protože se používají převážně na poštovních serverech, které mohou odesílat poštu do počítačů s jinými operačními systémy, antivirové skenery Linux obecně používají definice a skenování všech známých virů pro všechny počítačové platformy. Například open source ClamAV „Detekuje ... viry, červy a trojské koně, včetně makrovirů Microsoft Office, mobilního malwaru a dalších hrozeb“.

Viry a trojské koně

Níže uvedené viry představují potenciální, i když minimální, hrozbu pro systémy Linux. Pokud by byl spuštěn infikovaný binární soubor obsahující jeden z virů, systém by byl dočasně infikován, protože jádro Linuxu je rezidentní v paměti a je pouze pro čtení. Jakákoli úroveň infekce bude záviset na tom, který uživatel s jakými oprávněními spustil binární soubor. Binární běh pod kořenovým účtem by mohl infikovat celý systém. Zranitelnosti eskalace oprávnění mohou umožnit malwaru spuštěnému pod omezeným účtem infikovat celý systém.

Stojí za zmínku, že to platí pro jakýkoli škodlivý program, který je spuštěn bez zvláštních kroků přijatých k omezení jeho oprávnění. Je triviální přidat fragment kódu do jakéhokoli programu, který si uživatel může stáhnout, a nechat tento dodatečný kód stáhnout upravený přihlašovací server, otevřený přenos pošty nebo podobný program a nechat tuto další součást spustit kdykoli se uživatel přihlásí. Ne K tomu jsou zapotřebí speciální dovednosti psaní malwaru. Pro podvádění uživatele ke spuštění programu ( trojského koně ) může být zapotřebí speciální dovednosti .

Použití softwarových úložišť významně snižuje hrozbu instalace malwaru, protože úložiště softwaru kontrolují správci, kteří se snaží zajistit, aby jejich úložiště neobsahovalo malware. Následně, aby byla zajištěna bezpečná distribuce softwaru, jsou k dispozici kontrolní součty . Ty umožňují odhalit upravené verze, které mohly být zavedeny např. Únosem komunikace pomocí útoku typu man-in-the-middle nebo přesměrováním, jako je otrava ARP nebo DNS . Pečlivé používání těchto digitálních podpisů poskytuje další obrannou linii, která omezuje rozsah útoků tak, aby zahrnovali pouze původní autory, správce balíčků a vydavatelů a případně další s vhodným přístupem pro správce, v závislosti na způsobu nakládání s klíči a kontrolními součty. Reprodukovatelné sestavení může zajistit, že digitálně podepsaný zdrojový kód byl spolehlivě transformován do binární aplikace.

Červi a cílené útoky

Klasickou hrozbou pro unixové systémy jsou zranitelnosti síťových démonů , jako jsou SSH a webové servery. Ty mohou využít červi nebo k útokům proti konkrétním cílům. Vzhledem k tomu, že servery jsou opravovány poměrně rychle, když je nalezena chyba zabezpečení, existovalo jen několik rozšířených červů tohoto druhu. Jelikož lze na konkrétní cíle zaútočit prostřednictvím chyby zabezpečení, která není veřejně známá, neexistuje žádná záruka, že je určitá instalace bezpečná. Také servery bez těchto chyb zabezpečení lze úspěšně napadnout pomocí slabých hesel .

Webové skripty

Servery Linux mohou být také používány malwarem bez jakéhokoli útoku na samotný systém, kde např. Webový obsah a skripty nejsou dostatečně omezeny nebo kontrolovány a používány malwarem k napadení návštěvníků. Některé útoky používají k napadení serverů Linux komplikovaný malware, ale když většina získá plný root přístup, pak mohou hackeři útočit změnou čehokoli, jako je výměna binárních souborů nebo vkládání modulů. To může umožnit přesměrování uživatelů na jiný obsah na webu. Skript CGI určený pro zanechávání komentářů by obvykle mohl omylem umožnit zahrnutí zranitelností využívajících kód do webového prohlížeče.

Přetečení vyrovnávací paměti

Starší distribuce Linuxu byly relativně citlivé na útoky přetečení vyrovnávací paměti : pokud se program nestaral o velikost samotné vyrovnávací paměti, jádro poskytovalo pouze omezenou ochranu, což útočníkovi umožňovalo spouštět libovolný kód pod právy napadené zranitelné aplikace. Programy, které získají přístup root, i když jsou spuštěny uživatelem bez oprávnění root (pomocí bitů setuid ), byly obzvláště atraktivní pro útok. Od roku 2009 však většina jader obsahuje randomizaci rozložení adresního prostoru (ASLR), vylepšenou ochranu paměti a další rozšíření, takže je mnohem obtížnější takové útoky zařídit.

Viry napříč platformami

V roce 2007 byla zjištěna obava z multiplatformních virů, které jsou způsobeny popularitou multiplatformních aplikací. To se dostalo do popředí povědomí o malwaru distribucí viru OpenOffice.org s názvem Badbunny .

Stuart Smith ze společnosti Symantec napsal následující:

Tento virus stojí za zmínku, že ukazuje, jak snadno lze zneužít skriptovací platformy, rozšiřitelnost, zásuvné moduly, ActiveX atd. Až příliš často se na to zapomíná při snaze spojit funkce s jiným prodejcem ... Schopnost malwaru přežít v prostředí různých platforem a aplikací má zvláštní význam, protože stále více malwaru je vytlačováno prostřednictvím webových stránek. Jak dlouho trvá, než někdo pomocí něčeho takového upustí na webový server infekční program JavaScript, bez ohledu na platformu?

Sociální inženýrství

Stejně jako v případě jakéhokoli operačního systému je Linux zranitelný vůči malwaru, který přiměje uživatele k instalaci pomocí sociálního inženýrství . V prosinci 2009 byl objeven škodlivý spořič obrazovky s vodopádem, který obsahoval skript, který používal infikovaný počítač Linux při útocích na odmítnutí služby .

Antivirové aplikace

ClamTk GUI pro ClamAV spuštění prověřování na Ubuntu 8.04 Hardy Heron

K dispozici je řada antivirových aplikací, které poběží pod operačním systémem Linux. Většina těchto aplikací hledá exploity, které by mohly ovlivnit uživatele Microsoft Windows.

Pro hrozby specifické pro Microsoft Windows

Tyto aplikace jsou užitečné pro počítače (obvykle servery), které budou předávat soubory uživatelům systému MS Windows. Nehledají hrozby specifické pro Linux.

Pro hrozby specifické pro Linux

Tyto aplikace hledají skutečné hrozby pro počítače se systémem Linux, na kterých běží.

  • chkrootkit (bezplatný a open source software)
  • ClamAV (bezplatný a open source software)
  • Comodo (proprietární)
  • Dr.Web (proprietární)
  • ESET (proprietární) (detekuje OS X, Windows malware)
  • Detekce malwaru Linux
  • lynis (open source auditování)
  • rkhunter (bezplatný a open source software)
  • Samhain (bezplatný a open source software)
  • Sophos (proprietární) (verze pro UNIX a Windows také)

Linuxový malware lze detekovat (a analyzovat) také pomocí nástrojů forenzní paměti, jako například:

  • Forcepoint (proprietární)
  • Volatilita (bezplatný a open source software)

Hrozby

Následuje částečný seznam známého malwaru Linux. Jen málo z nich je však v přírodě a většina z nich byla aktualizacemi Linuxu zastaralá nebo nikdy nebyla hrozbou. Známý malware není jedinou nebo dokonce nejdůležitější hrozbou: nový malware nebo útoky směřující na konkrétní weby mohou využívat zranitelnosti, které dříve komunita nepoznala nebo které malware nevyužil .

Botnety

  • Mayhem-32/64bitový Linux/FreeBSD multifunkční botnet
  • Linux.Remaiten - hrozba zaměřená na internet věcí .
  • Mirai (malware) - botnet DDoS se šíří prostřednictvím služby telnet a je určen k infikování internetu věcí (IoT).
  • GafGyt / BASHLITE / Qbot - botnet DDoS se šíří prostřednictvím slabých hesel služby SSH a Telnet, poprvé objevených během zranitelnosti bash Shellshock.
  • LuaBot-botnet kódovaný komponentou modulů v programovacím jazyce Lua, křížově kompilovaný v C wrapperu s LibC, jeho cílem je Internet věcí v architektuře ARM, MIPS a PPC, s využitím do DDoS, šíří Mirai (malware) nebo prodej proxy přístup ke kybernetické kriminalitě.
  • Hydra, Aidra, LightAidra a NewAidra - další forma výkonného botnetu IRC, který infikuje linuxové boxy.
  • EnergyMech 2.8 overkill mod (Linux/Overkill) - dlouho poslední botnet navržený tak, aby infikoval servery svým robotem a provozovaný pomocí protokolu IRC pro účely DDoS a šíření.

Ransomware

Rootkity

  • Snakso-64bitový rootkit webového serveru Linux

Trojské koně

  • Effusion-32/64bitový injektor pro webové servery Apache/Nginx, (7. ledna 2014)
  • Hand of Thief - bankovní trojan, 2013,
  • Kaiten - Linux.Backdoor.Kaiten trojský kůň
  • Rexob - trojský kůň Linux.Backdoor.Rexob
  • Vodopád spořič obrazovky zadní vrátka-na gnome-look.org
  • Tsunami.gen - Backdoor.Linux.Tsunami.gen
  • Turla - HEUR: Backdoor.Linux.Turla.gen
  • Xor DDoS - trojský malware, který unese systémy Linux a používá je ke spouštění útoků DDoS, které dosáhly zatížení 150+ Gbps.
  • Hummingbad - nakazilo přes 10 milionů operačních systémů Android . Údaje o uživateli jsou prodávány a reklamy jsou využívány bez vědomí uživatele, čímž generují podvodné příjmy z reklamy.
  • NyaDrop - malý linuxový backdoor zkompilovaný z linuxového shell kódu, který má být použit k infikování linuxových boxů větším Linuxovým malwarem.
  • PNScan-linuxový trojský kůň navržený tak, aby mířil na směrovače a sám se infikoval do konkrétního cíleného síťového segmentu ve formě podobné červům
  • SpeakUp - zadní trojský kůň, který nakazí šest různých distribucí Linuxu a zařízení macOS.

Viry

  • 42
  • Oblouky
  • Alaeda - Virus.Linux.Alaeda
  • Binom - Linux/Binom
  • Bliss - vyžaduje oprávnění root
  • Brundle
  • Bukowski
  • Upozornění
  • Cephei - Linux.Cephei.A (a varianty)
  • Mince
  • Hasher
  • Lacrimae (aka Krym)
  • MetaPHOR (také známý jako Simile )
  • Nuxbee - Virus.Linux.Nuxbee.1403
  • OSF.8759
  • Pilot
  • Podloso - Linux.Podloso ( iPod virus)
  • RELx
  • Rike - Virus.Linux.Rike.1627
  • RST - Virus.Linux.RST.a (známý pro infikování korejského vydání Mozilla Suite 1.7.6 a Thunderbird 1.0.2 v září 2005)
  • Staog
  • Vit - Virus.Linux.Vit.4096
  • Zima - Virus.Linux.Winter.341
  • Winux (také známý jako Lindose a PEElf)
  • Wit virus
  • Zariche - Linux.Zariche.A (a varianty)
  • ZipWorm - Virus.Linux.ZipWorm

Červi

  • Adm-Net-Worm.Linux.Adm
  • Uctívat
  • Bad Bunny - Perl. Badbunny
  • Sýr-Net-Worm.Linux.Cheese
  • Devnull
  • Kork
  • Linux/Lion
  • Linux.Darlloz -zaměřuje se na domácí routery, set-top boxy, bezpečnostní kamery a průmyslové řídicí systémy.
  • Linux/Lupper.worm
  • Mighty-Net-Worm.Linux.Mighty
  • Millen - Linux.Millen.Worm
  • Červ Ramen - cílený pouze na distribuce Red Hat Linux verze 6.2 a 7.0
  • Pleskáč
  • SSH Bruteforce

Viz také

Reference

externí odkazy