Zijn reputatie op het gebied van beveiliging betekent dat Linux vaak wordt beschouwd als minder kwetsbaar voor de soorten bedreigingen die Microsoft Windows-systemen regelmatig teisteren. Veel van die waargenomen beveiliging komt van het relatief lage aantal Linux-systemen, maar beginnen cybercriminelen waarde in te zien bij het kiezen van kwaliteit boven kwantiteit?

Het dreigingslandschap van Linux verandert

Beveiligingsonderzoekers bij bedrijven zoals Kaspersky en Blackberry, samen met federale agentschappen zoals de FBI en NSA waarschuwen voor malware-auteurs die hun focus op Linux vergroten.

Het besturingssysteem wordt nu erkend als een toegangspoort tot waardevolle gegevens zoals handelsgeheimen, intellectueel eigendom en personeelsinformatie. Linux-servers kunnen ook worden gebruikt als een halteplaats voor infectie van bredere netwerken vol met Windows-, macOS- en Android-apparaten.

Zelfs als dit niet het besturingssysteem is dat op uw desktop of laptop wordt uitgevoerd, zullen uw gegevens vroeg of laat waarschijnlijk aan Linux worden blootgesteld. Uw cloudopslag-, VPN- en e-mailproviders, evenals uw werkgever, zorgverzekeraar, overheidsdiensten of universiteit, zijn vrijwel zeker Linux draaien als onderdeel van hun netwerken, en de kans is groot dat u nu of in de toekomst een door Linux aangedreven Internet Of Things (IoT) -apparaat bezit of zult bezitten toekomst.

instagram viewer

In de afgelopen 12 maanden zijn meerdere bedreigingen aan het licht gekomen. Sommige zijn bekende Windows-malware die naar Linux is overgezet, terwijl andere al bijna een decennium onopgemerkt op servers staan, wat laat zien hoeveel beveiligingsteams het risico hebben onderschat.

Veel systeembeheerders gaan er wellicht van uit dat hun organisatie niet belangrijk genoeg is om een ​​doelwit te zijn. Maar zelfs als uw netwerk geen grote prijs is, kunnen uw leveranciers of klanten verleidelijker zijn, en Toegang krijgen tot uw systeem, bijvoorbeeld via een phishing-aanval, kan een eerste stap zijn om te infiltreren van hen. Dus het is het waard om te evalueren hoe u uw systeem beschermt.

10 geweldige tips voor het beschermen van uw privacy op Linux

Ongeacht of u denkt dat Linux het meest veilige besturingssysteem is, alle besturingssystemen hebben risico's en kwetsbaarheden die kunnen worden misbruikt. Hier leest u hoe u ermee omgaat op Linux.

Linux Malware ontdekt in 2020

Hier is onze naar boven afronden van de bedreigingen die het afgelopen jaar zijn geïdentificeerd.

RansomEXX Trojan

Kaspersky-onderzoekers onthulden in november dat deze Trojan als uitvoerbaar bestand naar Linux was geport. Het slachtoffer blijft achter met bestanden die zijn versleuteld met een 256-bits AES-code en instructies om contact op te nemen met de malware-auteurs om hun gegevens te herstellen.

De Windows-versie viel in 2020 enkele belangrijke doelen aan, waaronder Konica Minolta, het Texas Department of Transport en het Braziliaanse rechtssysteem.

RansomEXX is specifiek afgestemd op elk slachtoffer, met de naam van de organisatie in zowel de gecodeerde bestandsextensie als het e-mailadres op de losgeldbrief.

Gitpaste-12

Gitpaste-12 is een nieuwe worm die x86-servers en IoT-apparaten met Linux besmet. Het dankt zijn naam aan het gebruik van GitHub en Pastebin om code te downloaden en vanwege zijn 12 aanvalsmethoden.

De worm kan AppArmor, SELinux, firewalls en andere verdedigingen uitschakelen en een cryptocurrency-mijnwerker installeren.

IPStorm

Bekend op Windows sinds mei 2019, werd in september een nieuwe versie van dit botnet ontdekt die in staat is Linux aan te vallen. Het ontwapent de killer van Linux die geen geheugen meer heeft om zichzelf draaiende te houden en doodt beveiligingsprocessen die ervoor kunnen zorgen dat het niet meer werkt.

De Linux-editie wordt geleverd met extra mogelijkheden, zoals het gebruik van SSH om doelen te vinden, Steam-gamingdiensten te exploiteren en pornografische websites te doorzoeken om klikken op advertenties te vervalsen.

Het heeft ook een voorliefde voor het infecteren van Android-apparaten die zijn verbonden via Android Debug Bridge (ADB).

Drovorub

De FBI en NSA hebben deze rootkit in augustus onder de aandacht gebracht in een waarschuwing. Het kan beheerders en antivirussoftware omzeilen, rootopdrachten uitvoeren en hackers toestaan ​​bestanden te uploaden en downloaden. Volgens de twee instanties is Drovorub het werk van Fancy Bear, een groep hackers die voor de Russische overheid werken.

De infectie is moeilijk te detecteren, maar een upgrade naar ten minste de 3.7-kernel en het blokkeren van niet-vertrouwde kernelmodules zou dit moeten helpen voorkomen.

Lucifer

De Lucifer kwaadaardige cryptomining en gedistribueerde denial of service-bot verscheen voor het eerst op Windows in juni en op Linux in augustus. De Linux-incarnatie van Lucifer maakt zowel HTTP-gebaseerde DDoS-aanvallen als via TCP, UCP en ICMP mogelijk.

Penquin_x64

Deze nieuwe soort van de Turla Penquin-malwarefamilie werd in mei door onderzoekers onthuld. Het is een achterdeur waarmee aanvallers netwerkverkeer kunnen onderscheppen en opdrachten kunnen uitvoeren zonder root te verwerven.

Kaspersky ontdekte dat de exploit in juli op tientallen servers in de VS en Europa draaide.

Doki

Doki is een backdoor-tool die zich voornamelijk richt op slecht opgezette Docker-servers om cryptomijnwerkers te installeren.

Terwijl malware meestal contact maakt met vooraf bepaalde IP-adressen of URL's om instructies te ontvangen, hebben de makers van Doki een dynamisch systeem opgezet dat gebruikmaakt van de Dogecoin crypto blockchain API. Dit maakt het moeilijk om de commando-infrastructuur neer te halen, aangezien de malware-operators de controleserver kunnen wijzigen met slechts één Dogecoin-transactie.

Om Doki te vermijden, moet u ervoor zorgen dat uw Docker-beheerinterface correct is geconfigureerd.

TrickBot

TrickBot is een banktrojan, gebruikt voor ransomware-aanvallen en identiteitsdiefstal, die ook de overstap heeft gemaakt van Windows naar Linux. Anchor_DNS, een van de tools die wordt gebruikt door de groep achter TrickBot, verscheen in juli in een Linux-variant.

Anchor_Linux fungeert als een achterdeur en wordt meestal verspreid via zip-bestanden. De malware zet een cron taak en neemt contact op met een controleserver via DNS-queries.

Verwant: Hoe u phishing-e-mails kunt herkennen

Tycoon

De Tycoon Trojan wordt gewoonlijk verspreid als een gecompromitteerde Java Runtime-omgeving in een zip-archief. Onderzoekers ontdekten het in juni op zowel de Windows- als Linux-systemen van kleine tot middelgrote bedrijven en onderwijsinstellingen. Het versleutelt bestanden en vraagt ​​om losgeld.

Cloud Snooper

Deze rootkit kaapt Netfilter om commando's en gegevensdiefstal onder normaal webverkeer te verbergen om firewalls te omzeilen.

Het systeem werd voor het eerst geïdentificeerd in de Amazon Web Services-cloud in februari en kan worden gebruikt om malware op elke server achter elke firewall te controleren.

PowerGhost

Eveneens in februari ontdekten onderzoekers van Trend Micro dat PowerGhost de sprong had gemaakt van Windows naar Linux. Dit is een bestandsloze cryptocurrency-mijnwerker die uw systeem kan vertragen en hardware kan verslechteren door verhoogde slijtage.

De Linux-versie kan anti-malwareproducten verwijderen of uitschakelen en blijft actief met een cron-taak. Het kan andere malware installeren, root-toegang krijgen en zich via netwerken verspreiden met behulp van SSH.

FritzFrog

Sinds dit peer-to-peer (P2P) botnet voor het eerst werd geïdentificeerd in januari 2020, zijn er 20 extra versies gevonden. Slachtoffers zijn onder meer regeringen, universiteiten, medische centra en banken.

Fritzfrog is bestandsloze malware, een soort bedreiging die in RAM leeft in plaats van op uw harde schijf en kwetsbaarheden in bestaande software misbruikt om zijn werk te doen. In plaats van servers gebruikt het P2P om gecodeerde SSH-communicatie te verzenden om aanvallen over verschillende machines te coördineren, zichzelf bij te werken en ervoor te zorgen dat het werk gelijkmatig over het netwerk wordt verspreid.

Hoewel het bestandsloos is, creëert Fritzfrog een achterdeur met behulp van een openbare SSH-sleutel om toegang in de toekomst mogelijk te maken. Inloggegevens voor gecompromitteerde machines worden vervolgens op het netwerk opgeslagen.

Sterke wachtwoorden en authenticatie met openbare sleutels bieden bescherming tegen deze aanval. Het is ook een goed idee om uw SSH-poort te wijzigen of SSH-toegang uit te schakelen als u deze niet gebruikt.

FinSpy

FinFisher verkoopt FinSpy, geassocieerd met het bespioneren van journalisten en activisten, als een standaard bewakingsoplossing voor regeringen. Amnesty International was eerder te zien op Windows en Android en ontdekte in november 2019 een Linux-versie van de malware.

FinSpy maakt het aftappen van verkeer, toegang tot privégegevens en het opnemen van video en audio van geïnfecteerde apparaten mogelijk.

Het werd in 2011 bekend bij het publiek toen demonstranten een contract vonden voor de aankoop van FinSpy in de kantoren van de brutale Egyptische veiligheidsdienst na de omverwerping van president Mubarak.

Is het tijd voor Linux-gebruikers om beveiliging serieus te nemen?

Hoewel Linux-gebruikers misschien niet zo kwetsbaar zijn voor zoveel beveiligingsrisico's als Windows-gebruikers, lijdt het geen twijfel Door de waarde en het volume aan gegevens van Linux-systemen wordt het platform aantrekkelijker voor cybercriminelen.

Als de FBI en NSA zich zorgen maken, zouden eenmanszaken of kleine bedrijven die Linux draaien, meer moeten gaan betalen aandacht voor veiligheid nu als ze willen voorkomen dat ze nevenschade worden tijdens toekomstige aanvallen op grotere organisaties.

Hier zijn onze tips om jezelf te beschermen tegen de groeiende lijst van Linux-malware:

  • Voer geen binaire bestanden of scripts uit van onbekende bronnen.
  • Installeer beveiligingssoftware zoals antivirusprogramma's en rootkit-detectoren.
  • Wees voorzichtig bij het installeren van programma's met opdrachten zoals curl. Voer de opdracht pas uit als u volledig begrijpt wat het gaat doen, start hier uw opdrachtregelonderzoek.
  • Lees hoe u uw firewall correct instelt. Het moet alle netwerkactiviteit registreren, ongebruikte poorten blokkeren en in het algemeen uw blootstelling aan het netwerk tot het minimum beperken dat nodig is.
  • Update uw systeem regelmatig; instellen dat beveiligingsupdates automatisch worden geïnstalleerd.
  • Zorg ervoor dat uw updates worden verzonden via gecodeerde verbindingen.
  • Schakel een op sleutels gebaseerd authenticatiesysteem in voor SSH en wachtwoord om de sleutels te beschermen.
  • Gebruik tweefactorauthenticatie (2FA) en bewaar sleutels op externe apparaten zoals een Yubikey.
  • Controleer de logboeken op bewijzen van aanvallen.
E-mail
5 beveiligingshulpmiddelen die u op Linux zou moeten hebben

Vanaf het begin is Linux redelijk veilig, vooral in vergelijking met andere besturingssystemen zoals macOS of Windows. Toch is het goed om daarop voort te bouwen, te beginnen met deze tools.

Gerelateerde onderwerpen
  • Linux
  • Linux
  • Malware
Over de auteur
Joe McCrossan (7 Artikelen gepubliceerd)

Joe McCrossan is een freelanceschrijver, vrijwilliger technische probleemoplosser en amateur fietsenmaker. Hij houdt van Linux, open source en allerlei soorten tovenaarsinnovatie.

Meer van Joe McCrossan

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Nog een stap…!

Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.

.