Вредоносное ПО для Linux - Linux malware

Вредоносные программы для Linux включают вирусы , трояны , черви и другие типы вредоносных программ , влияющих на операционную систему Linux . Linux, Unix и другие Unix-подобные компьютерные операционные системы обычно считаются очень хорошо защищенными от компьютерных вирусов , но не защищенными от них .

Не было ни одного широко распространенного вируса или вредоносного ПО для Linux, типичного для Microsoft Windows ; Обычно это связано с отсутствием у вредоносного ПО корневого доступа и быстрым обновлением большинства уязвимостей Linux.

Уязвимость Linux

Как и системы Unix, Linux реализует многопользовательскую среду, в которой пользователям предоставляются определенные привилегии и реализована некоторая форма контроля доступа. Чтобы получить контроль над системой Linux или вызвать какие-либо серьезные последствия для самой системы, вредоносная программа должна получить root-доступ к системе.

В прошлом предполагалось, что в Linux было так мало вредоносных программ, потому что его низкая доля на рынке делала его менее прибыльной целью. Рик Моэн, опытный системный администратор Linux, возражает, что:

[Этот аргумент] игнорирует доминирование Unix в целом ряде областей, не относящихся к настольным компьютерам, включая веб-серверы и научные рабочие станции. Автор вируса / трояна / червя, который успешно нацелился на веб-серверы Apache httpd Linux / x86, имел бы одновременно чрезвычайно богатую целевую среду и мгновенно заработал бы прочную славу, но этого не происходит.

В 2008 году отмечалось увеличение количества вредоносных программ, нацеленных на Linux. Шейн Курсен, старший технический консультант « Лаборатории Касперского» , сказал в то время: «Рост количества вредоносных программ для Linux просто связан с их растущей популярностью, особенно в качестве операционной системы для настольных компьютеров ... Использование операционной системы напрямую связано с интерес авторов вредоносных программ к разработке вредоносных программ для этой ОС ".

Том Феррис, исследователь из Security Protocols, прокомментировал один из отчетов Kaspersky, заявив: «В сознании людей, если это не Windows, это безопасно, и это не так. Они думают, что никто не пишет вредоносное ПО для Linux или Mac OS X. Но это не обязательно так ».

Некоторые пользователи Linux запускают антивирусное программное обеспечение на основе Linux для сканирования небезопасных документов и электронной почты, которые приходят от пользователей Windows или отправляются им. Скотт Граннеман из SecurityFocus заявил:

... некоторым машинам с Linux определенно требуется антивирусное программное обеспечение. Например, серверы Samba или NFS могут хранить документы в недокументированных уязвимых форматах Microsoft, таких как Word и Excel, которые содержат и распространяют вирусы. Почтовые серверы Linux должны запускать антивирусное программное обеспечение, чтобы нейтрализовать вирусы до того, как они появятся в почтовых ящиках пользователей Outlook и Outlook Express.

Поскольку они преимущественно используются на почтовых серверах, которые могут отправлять почту на компьютеры под управлением других операционных систем, антивирусные сканеры Linux обычно используют определения и сканируют все известные вирусы для всех компьютерных платформ. Например, ClamAV с открытым исходным кодом «Обнаруживает ... вирусы, черви и трояны, включая макровирусы Microsoft Office, вредоносное ПО для мобильных устройств и другие угрозы».

Вирусы и троянские кони

Перечисленные ниже вирусы представляют потенциальную, хотя и минимальную, угрозу для систем Linux. Если был запущен зараженный двоичный файл, содержащий один из вирусов, система была бы временно заражена, поскольку ядро ​​Linux находится в памяти и доступно только для чтения. Любой уровень заражения будет зависеть от того, какой пользователь с какими привилегиями запускал двоичный файл. Бинарный запуск под учетной записью root может заразить всю систему. Уязвимости, связанные с повышением привилегий, могут позволить вредоносному ПО, работающему под ограниченной учетной записью, заразить всю систему.

Стоит отметить, что это верно для любой вредоносной программы, которая запускается без специальных действий по ограничению ее привилегий. Добавить фрагмент кода в любую программу, которую может загрузить пользователь, и позволить этому дополнительному коду загружать измененный сервер входа в систему, открытый почтовый ретранслятор или аналогичную программу и запускать этот дополнительный компонент каждый раз, когда пользователь входит в систему, является тривиальным делом. Для этого необходимы специальные навыки написания вредоносных программ. Для того, чтобы обманом заставить пользователя запустить ( троянскую ) программу, могут потребоваться специальные навыки .

Использование репозиториев программного обеспечения значительно снижает любую угрозу установки вредоносных программ, поскольку репозитории программного обеспечения проверяются специалистами по обслуживанию, которые стараются убедиться, что их репозиторий не содержит вредоносных программ. Впоследствии, для обеспечения безопасного распространения программного обеспечения, становятся доступными контрольные суммы . Это позволяет выявить модифицированные версии, которые могли быть введены, например, путем перехвата коммуникаций с использованием атаки « злоумышленник в середине» или атаки с перенаправлением, такой как отравление ARP или DNS . Тщательное использование этих цифровых подписей обеспечивает дополнительную линию защиты, которая ограничивает объем атак, включая только первоначальных авторов, разработчиков пакетов и выпусков и, возможно, других лиц с подходящим административным доступом, в зависимости от того, как обрабатываются ключи и контрольные суммы. Воспроизводимые сборки могут гарантировать, что исходный код с цифровой подписью был надежно преобразован в двоичное приложение.

Черви и целевые атаки

Классической угрозой для Unix-подобных систем являются уязвимости в сетевых демонах , таких как SSH и веб-серверы. Их могут использовать черви или для атак на определенные цели. Поскольку при обнаружении уязвимости серверы исправляются довольно быстро, широко распространенных червей было всего несколько. Поскольку определенные цели могут быть атакованы через уязвимость, о которой не известно, нет никакой гарантии, что определенная установка безопасна. Также серверы без таких уязвимостей могут быть успешно атакованы с помощью слабых паролей .

Веб-скрипты

Серверы Linux также могут использоваться вредоносными программами без какой-либо атаки на саму систему, где, например, веб-контент и сценарии недостаточно ограничены или проверены и используются вредоносными программами для атак на посетителей. Некоторые атаки используют сложные вредоносные программы для атаки серверов Linux, но когда большинство из них получает полный root-доступ, хакеры могут атаковать, изменяя что-либо, например заменяя двоичные файлы или вставляя модули. Это может позволить перенаправить пользователей на другой контент в Интернете. Как правило, сценарий CGI, предназначенный для оставления комментариев, может по ошибке разрешить включение кода, использующего уязвимости в веб-браузере.

Переполнение буфера

Старые дистрибутивы Linux были относительно чувствительны к атакам переполнения буфера : если программа не заботилась о размере самого буфера, ядро ​​предоставляло только ограниченную защиту, позволяя злоумышленнику выполнить произвольный код с правами уязвимого приложения, подвергшегося атаке. Программы, которые получают root-доступ даже при запуске пользователем без полномочий root (через бит setuid ), были особенно привлекательны для атак. Однако с 2009 года большинство ядер включают рандомизацию разметки адресного пространства (ASLR), улучшенную защиту памяти и другие расширения, которые значительно затрудняют организацию таких атак.

Кросс-платформенные вирусы

В 2007 году была выявлена ​​проблема межплатформенных вирусов, вызванная популярностью кроссплатформенных приложений. На первый план в осведомленности о вредоносных программах пришло распространение вируса OpenOffice.org под названием Badbunny .

Стюарт Смит из Symantec написал следующее:

Что делает этот вирус достойным упоминания, так это то, что он показывает, насколько легко можно злоупотреблять платформами сценариев, расширяемостью, плагинами, ActiveX и т. Д. Слишком часто об этом забывают, пытаясь сопоставить функции с другими поставщиками ... Способность вредоносного ПО выживать в кроссплатформенной кросс-прикладной среде имеет особое значение, поскольку все больше и больше вредоносных программ распространяется через веб-сайты. Как скоро кто-то использует что-то подобное, чтобы сбросить заражающий JavaScript на веб-сервер, независимо от платформы?

Социальная инженерия

Как и любая операционная система, Linux уязвима для вредоносного ПО, которое обманом заставляет пользователя установить его с помощью социальной инженерии . В декабре 2009 года была обнаружена вредоносная заставка «водопад», содержащая скрипт, который использовал зараженный компьютер с Linux для атак типа «отказ в обслуживании» .

Антивирусные приложения

ClamTk графический интерфейс для ClamAV работает сканирование на Ubuntu 8.04 Hardy Heron

Доступен ряд антивирусных приложений, которые работают под управлением операционной системы Linux. Большинство этих приложений ищут эксплойты, которые могут повлиять на пользователей Microsoft Windows.

Для угроз, специфичных для Microsoft Windows

Эти приложения полезны для компьютеров (обычно серверов), которые передают файлы пользователям MS Windows. Они не ищут угрозы, специфичные для Linux.

Для угроз, специфичных для Linux

Эти приложения ищут реальные угрозы компьютерам Linux, на которых они работают.

  • chkrootkit (бесплатное программное обеспечение с открытым исходным кодом)
  • ClamAV (бесплатное программное обеспечение с открытым исходным кодом)
  • Comodo (собственный)
  • Dr.Web (собственный)
  • ESET (проприетарный) (обнаруживает вредоносное ПО для OS X и Windows)
  • Обнаружение вредоносного ПО в Linux
  • lynis (аудит с открытым исходным кодом)
  • rkhunter (бесплатное программное обеспечение с открытым исходным кодом)
  • Samhain (бесплатное программное обеспечение с открытым исходным кодом)
  • Sophos (проприетарный) (также версии для UNIX и Windows)

Вредоносные программы для Linux также могут быть обнаружены (и проанализированы) с помощью инструментов криминалистической экспертизы памяти, таких как:

  • Forcepoint (собственный)
  • Волатильность (бесплатное программное обеспечение с открытым исходным кодом)

Угрозы

Ниже приведен неполный список известных вредоносных программ для Linux. Однако немногие из них, если таковые имеются, находятся в дикой природе, и большинство из них устарели из-за обновлений Linux или никогда не представляли угрозы. Известные вредоносные программы - не единственная и даже не самая важная угроза: новые вредоносные программы или атаки, направленные на определенные сайты, могут использовать уязвимости, ранее неизвестные сообществу или неиспользуемые вредоносными программами.

Ботнеты

  • Mayhem - 32/64-битный многофункциональный ботнет Linux / FreeBSD
  • Linux.Remaiten - угроза для Интернета вещей .
  • Mirai (вредоносное ПО) - ботнет DDoS распространяется через службу Telnet и предназначен для заражения Интернета вещей (IoT).
  • GafGyt / BASHLITE / Qbot - ботнет DDoS распространяется через SSH и служебные слабые пароли Telnet, впервые обнаруженные во время уязвимости bash Shellshock.
  • LuaBot - ботнет, закодированный с компонентами модулей на языке программирования Lua, кросс-скомпилированный в оболочке C с помощью LibC, он нацелен на Интернет вещей в архитектурах ARM, MIPS и PPC, с использованием DDoS, распространяет Mirai (вредоносное ПО) или продает прокси. доступ к киберпреступности.
  • Hydra, Aidra, LightAidra и NewAidra - еще одна форма мощного IRC-ботнета, который заражает ящики Linux.
  • EnergyMech 2.8 overkill mod (Linux / Overkill) - последний ботнет, предназначенный для заражения серверов своим ботом и работающий по протоколу IRC для DDoS-атак и распространения.

Программы-вымогатели

Руткиты

  • Snakso - 64-битный руткит веб-сервера Linux

Трояны

  • Effusion - 32/64-битный инжектор для веб-серверов Apache / Nginx, (7 января 2014 г.)
  • Hand of Thief - Банковский троян, 2013 г.,
  • Kaiten - троянский конь Linux.Backdoor.Kaiten
  • Rexob - троян Linux.Backdoor.Rexob
  • Бэкдор заставки водопад - на gnome-look.org
  • Tsunami.gen - Backdoor.Linux.Tsunami.gen
  • Turla - HEUR: Backdoor.Linux.Turla.gen
  • Xor DDoS - троянская программа, которая захватывает системы Linux и использует их для запуска DDoS-атак, скорость которых достигает 150+ Гбит / с.
  • Hummingbad - заразил более 10 миллионов операционных систем Android . Сведения о пользователях продаются, а реклама просматривается без ведома пользователя, что приводит к получению доходов от мошеннической рекламы.
  • NyaDrop - небольшой бэкдор Linux, скомпилированный из шелл-кода Linux, который будет использоваться для заражения компьютеров Linux вредоносными программами Linux большего размера.
  • PNScan - троян Linux, предназначенный для нацеливания маршрутизаторов и самозаражения на определенный целевой сегмент сети в форме червя.
  • SpeakUp - троян-бэкдор, заражающий шесть разных дистрибутивов Linux и устройства macOS.

Вирусы

  • 42
  • Арки
  • Алаэда - Virus.Linux.Alaeda
  • Бином - Linux / Бином
  • Bliss - требуются права root
  • Брандл
  • Буковски
  • Предостережение
  • Cephei - Linux.Cephei.A (и варианты)
  • Монета
  • Хашер
  • Лакримы (также известные как Крым)
  • MetaPHOR (также известный как Simile )
  • Nuxbee - Вирус.Linux.Nuxbee.1403
  • OSF.8759
  • PiLoT
  • Podloso - Linux.Podloso ( вирус iPod )
  • RELx
  • Рике - Virus.Linux.Rike.1627
  • RST - Virus.Linux.RST.a (известен тем, что заразил корейскую версию Mozilla Suite 1.7.6 и Thunderbird 1.0.2 в сентябре 2005 г.)
  • Staog
  • Vit - Virus.Linux.Vit.4096
  • Зима - Virus.Linux.Winter.341
  • Winux (также известный как Lindose и PEElf)
  • Остроумие вирус
  • Zariche - Linux.Zariche.A (и варианты)
  • ZipWorm - Virus.Linux.ZipWorm

черви

  • Adm - Net-Worm.Linux.Adm
  • Обожать
  • Плохой кролик - Perl.Badbunny
  • Сыр - Net-Worm.Linux.Cheese
  • Devnull
  • Корк
  • Linux / Lion
  • Linux.Darlloz - предназначен для домашних маршрутизаторов, телевизионных приставок, камер видеонаблюдения и промышленных систем управления.
  • Linux / Lupper.worm
  • Могучий - Net-Worm.Linux.Mighty
  • Миллен - Linux.Millen.Worm
  • Червь Ramen - нацелен только на дистрибутивы Red Hat Linux версий 6.2 и 7.0.
  • Slapper
  • SSH Bruteforce

Смотрите также

использованная литература

внешние ссылки

  • Linuxvirus в официальной документации Ubuntu