Mam Linuxa, więc nie potrzebuję żadnej ochrony – taką opinię często można przeczytać w komentarzach pod artykułami poświęconymi bezpieczeństwu IT. Niestety jest to dalekie od prawdy, mimo że faktycznie zagrożeń na tę platformę jest znacznie mniej niż w przypadku systemów Windows, macOS czy Android. Linux pozostaje jednak atrakcyjnym celem dla cyberprzestępców – głównie ze względu na szerokie zastosowanie tej platformy w firmowych infrastrukturach IT.

Linux jest podstawowym systemem operacyjnym dla wielu rozwiązań serwerowych, w tym dla platform Apache i Nginx, które odpowiadają za dostarczanie znacznej części treści internetowych. Podobnie jest z zastosowaniami chmurowymi – system ten jest głównym wyborem w przypadku platform Amazon Web Services (AWS), Google Cloud Platform czy Microsoft Azure. Linux charakteryzuje się niskim obciążeniem sprzętu i modułową budową, co sprawia, że świetnie sprawdza się także w urządzeniach o niskim poborze energii, takich jak inteligentne czujniki, kamery, routery i wiele innego sprzętu zaliczającego się do kategorii Internetu Rzeczy.  

Najpopularniejsze rodzaje szkodliwych programów dla Linuxa

Szkodliwe programy dla Linuxa mogą prowadzić m.in. do wycieków danych i szyfrowania informacji, co w efekcie generuje poważne straty finansowe. Popularność występujących rodzajów zagrożeń jest podobna, jak w przypadku platformy Windows: 

  • Trojany: programy udające użyteczne narzędzia, a w rzeczywistości wykonujące szkodliwe działania. Sama nazwa nie definiuje konkretnych funkcji, a jedynie metodę dostarczania zagrożenia.
  • Botnety: sieci zainfekowanych urządzeń kontrolowanych przez cyberprzestępców. Często są stosowane w atakach DDoS, by przeciążać infrastrukturę ofiary śmieciowymi żądaniami sieciowymi. Z kolei w skład botnetów mogą wchodzić także urządzenia Internetu Rzeczy, które bardzo często działają pod kontrolą Linuxa. 
  • Ransomware: narzędzia blokujące dostęp do urządzenia lub danych i żądające zapłacenia okupu. Dane pozostają zaszyfrowane lub niedostępne do momentu zapłacenia za klucz deszyfrujący.
  • Rootkity: narzędzia zaprojektowane, by jak najdłużej działać w systemach ofiar bez wzbudzania jakichkolwiek podejrzeń. Po zainstalowaniu manipulują systemem operacyjnym, by ukrywać kolejne szkodliwe funkcje, zmieniać ustawienia zabezpieczeń lub kontrolować nawet najbardziej kluczowe parametry. Na przykład, rootkit może ukrywać szkodliwy program przed rozwiązaniem antywirusowym, by system wyglądał na niezainfekowany.
  • Cryptojacking: kradzież mocy obliczeniowej komputera ofiary w celu kopania kryptowalut na rzecz cyberprzestępców. Waluty cyfrowe, takie jak Bitcoin, wymagają „kopania” – jest to proces, w ramach którego komputer jest wykorzystywany do rozwiązywania skomplikowanych problemów matematycznych, mających na celu uwierzytelnianie transakcji i tym samym zarabianie pieniędzy. Niestety proces kopania jest kosztowny – wymaga potężnego sprzętu, który pochłania olbrzymie ilości energii elektrycznej. Aby uniknąć tych kosztów, cyberprzestępcy infekują komputery innych ludzi oraz firm i kradną ich moc obliczeniową, by kopać kryptowaluty dla siebie. Prowadzi to do spadku wydajności urządzeń, zwiększenia rachunków za energię elektryczną i ogólnie szybszego zużywania się sprzętu. 

Popularne rodziny linuxowych zagrożeń

W ostatnich latach pojawiło się wiele rodzin szkodliwego oprogramowania wycelowanego w systemy linuxowe. Oto kilka najistotniejszych: 

CloudSnooper 

Wyrafinowane szkodliwe oprogramowanie atakujące linuxowe środowiska chmurowe. Charakteryzuje się wielowarstwowym podejściem do unikania wykrycia i zapewniania sobie przetrwania w zainfekowanym systemie. Bazowa funkcjonalność opiera się na wykorzystywaniu reguł iptables do tworzenia potajemnych kanałów komunikacji. Szkodnik manipuluje tymi regułami, by umożliwić docieranie ruchu z określonych adresów IP, omijając zabezpieczenia zapory sieciowej. Zastosowanie rootkita daje szkodnikowi możliwość głębokiej integracji w systemie, ukrywanie swojej obecności oraz wykorzystywanie legalnych modułów Linuxa do własnych celów. 

Mirai 

Botnet składający się z urządzeń Internetu Rzeczy, bazujący na lukach i słabych zabezpieczeniach w sprzęcie tego typu. Mirai infekuje urządzenia przy użyciu listy domyślnych danych logowania i sukcesywnie dołącza je do botnetu wykorzystywanego przede wszystkim do przeprowadzania ataków DDoS. Zasięg tego zagrożenia pokazał dobitnie, jak słabymi zabezpieczeniami charakteryzują się niektóre urządzenia IoT. 

RansomExx 

Rodzina ransomware atakująca przede wszystkim infrastruktury korporacyjne i rządowe. Pliki zaszyfrowane przez tego szkodnika można łatwo zidentyfikować poprzez dodawane do nich rozszerzenie „.ransomexx”. Sam szkodliwy kod nie jest nowy, jednak dopiero niedawno zyskał możliwość atakowania platformy Linux. Głównym wektorem infekcji są spersonalizowane phishingowe wiadomości e-mail.

EvilGnome 

Szkodliwy program kradnący informacje. Udaje rozszerzenie linuxowej powłoki GNOME, a precyzyjniej podszywa się pod legalne procesy GNOME. Takie podejście pozwala atakującym unikać wykrycia przez konwencjonalne rozwiązania bezpieczeństwa. Modułowa budowa zagrożenia obejmuje komponenty do przechwytywania znaków wpisywanych z klawiatury oraz pobierania dodatkowych szkodliwych narzędzi, co czyni z niego popularne narzędzie do działań związanych ze szpiegowaniem precyzyjnie wyselekcjonowanych ofiar. 

GonnaCry 

Kolejne narzędzie ransomware atakujące platformę Linux. Zostało napisane w języku Python i szyfruje pliki z użyciem 256-bitowego algorytmu AES. Do zaszyfrowanych plików dodawane jest rozszerzenie „.GonnaCry”. Szkodnik działa bez udziału serwera sterującego kontrolowanego przez cyberprzestępców i zamiast tego wyświetla informację o konieczności zapłacenia okupu bezpośrednio użytkownikowi. GonnaCry jest dystrybuowany w modelu open source, co oznacza, że kolejni cyberprzestępcy mogą go modyfikować i wykorzystywać do różnych celów. 

Tycoon 

Wieloplatformowe narzędzie ransomware atakujące systemy Windows oraz Linux. Szkodnik dodaje do nazw zaszyfrowanych plików rozszerzenia „.redrum”, „.grinch” lub „.thanos”. Tycoon dociera do maszyn ofiar w ramach ataków ukierunkowanych, często wykorzystując słabe zabezpieczenia w protokołach zdalnego pulpitu. Po infekcji szkodnik kompresuje zaszyfrowane pliki w archiwum ZIP zabezpieczonym hasłem, by dodatkowo utrudniać próby odzyskania danych.

Narzędzia pomagające w analizie szkodliwych programów

Precyzyjna analiza szkodliwych programów dla platformy Linux jest w wielu przypadkach niezbędna do zapewnienia skutecznej ochrony. Na rynku istnieje kilka pakietów open source wspomagających ten proces, jednak żaden z nich nie dorównuje wygodą użytkowania interaktywnemu sandboxowi ANY.RUN. Jeżeli jednak chcesz wypróbować te narzędzia, oto kilka słów o tych najpopularniejszych: 

  • Rootkit Hunter oraz Check Rootkit: narzędzia skanujące lokalne systemy w poszukiwaniu szkodliwego oprogramowania, w tym szkodników ukrywających swoją obecność. 
  • Volatility: narzędzie open source do prowadzenia działań z zakresu kryminalistyki cyfrowej w pamięci systemów, zaprojektowane z myślą o bezpieczeństwie chmurowym. Często stosowane podczas reagowania na incydenty oraz w analizie szkodliwego oprogramowania.
  • Lynis: narzędzie wiersza poleceń skanujące lokalne lub zdalne systemy. Pomaga audytorom w wyszukiwaniu potencjalnych problemów związanych z bezpieczeństwem sieci. 
  • Kali Linux: dystrybucja Linuxa dostosowana do przeprowadzania testów penetracyjnych, etycznego hakowania oraz działań z zakresu kryminalistyki cyfrowej.

Podsumowanie

Co do zasady, Linux jest bezpieczniejszym środowiskiem niż Windows – głównie ze względu na aktywną społeczność i naturę open source tego środowiska. Społeczność nadzoruje zasoby i wymusza transparentność na firmach rozwijających oprogramowanie dla platformy Linux.

Niestety, coraz szersze zastosowania Linuxa, szczególnie w hostingu chmurowym, sprawia, że staje się on atrakcyjnym celem dla cyberprzestępców. Skuteczne złamanie zabezpieczeń systemów linuxowych daje atakującym dostęp do wielu krytycznych zasobów. Użytkownicy tej platformy powinni zatem zdawać sobie sprawę z coraz większego ryzyka. Utrzymanie bezpieczeństwa systemów, danych i sieci jest kluczowe – niezależnie od systemu operacyjnego. 

Informacje o ANY.RUN  

ANY.RUN to chmurowy sandbox do analizy szkodliwych programów, ułatwiający pracę analityków z działów SOC i jednostek odpowiedzialnych za reagowanie na incydenty. Z platformy każdego dnia korzysta ponad 300 000 profesjonalistów z całego świata.

Poproś o demo i korzystaj bezpłatnie przez 14 dni z najwyższego planu Enterprise

Źródło: https://any.run/cybersecurity-blog/linux-malware-types-families-and-trends