Linux APT攻擊分析

本篇內容介紹了“Linux APT攻擊分析”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

Windows可以運行大多數APT攻擊工具，與此同時，人們普遍認為Linux系統較為安全，不易受到惡意代碼攻擊。多年來，Linux未遇到大量病毒、蠕蟲和木馬，但Linux中仍存在惡意軟件，包括PHP后門，rootkit等。

Linux服務器中承載了各種業務使其成為攻擊者的首要目標。如果攻擊者能夠攻陷Linux服務器，他們不僅可以訪問存儲在服務器上的數據，還可以攻擊與之通聯的Windows或macOS的服務器。

Barium

在2013年首次報告有關Winnti APT集團（又名APT41或Barium），當時他們主要針對游戲公司獲得直接的經濟收益。他們的業務不斷擴大，開發了許多新工具，攻擊也更為復雜。

MESSAGETAP是該小組使用的Linux惡意軟件，可用于選擇性地攔截來自電信運營商的SMS消息。據FireEye稱，該組織將該惡意軟件部署在SMS網關系統上，滲透ISP和電信公司，建立監視網格。

最近發現了另一種Barium / APT41工具，它以編程語言Go（也稱為Golang）編寫，尚不清楚它是為系統管理任務開發的工具，還是它也是APT41工具集的一部分，有關此工具的更多詳細信息，請參見“Suspected Barium network control tool in GO for Linux”。

Cloud Snooper

2020年2月，Sophos發布一份報告，描述了一套惡意工具Cloud Snooper。其核心是面向服務器的Linux內核rootkit，該內核掛鉤了netfilter流量控制功能，啟用了穿越防火墻的隱蔽C2（命令和控制）通信。發現了許多樣本，以及位于亞洲的目標服務器。至少從2016年開始，該工具集就一直在開發中。

Equation

在2015年發現了Equation，其歷史可追溯到2001年，早在1996年就參與了多個CNE（計算機網絡利用）。該小組擁有強大的工具庫。目前發現：“ EQUATIONLASER”，“ EQUATIONDRUG”，“ DOUBLEFANTASY”，“ TRIPLEFANTASY”，“ FANNY”和“ GRAYFISH”。 Equation的創新不僅僅限于Windows平臺。該小組的POSIX兼容代碼庫允許在其他平臺上進行開發。 2015年發現了針對Linux的早期DOUBLEFANTASY惡意軟件，可以收集系統信息和憑據，并提供受感染計算機的訪問權限。

HackingTeam

HackingTeam是一家意大利信息技術公司，向世界各國政府，執法機構和企業銷售“監視軟件”。在2015年遭受數據泄露，400GB公司數據（包括源代碼和用戶數據）被盜，這些工具被全球的攻擊者（例如DancingSalome（又名Callisto））獲取，改編和使用。泄漏的工具包括針對Adobe Flash的零日漏洞利用（CVE-2015-5119），以及能夠提供遠程訪問，按鍵記錄，常規信息記錄和滲透的復雜平臺，可以檢索Skype音頻和視頻，繞過流加密，RCS（遠程控制系統）惡意軟件（又名Galileo，Da Vinci，Korablin，Morcut和Crisis）。

Lazarus

研究人員在2018年末發現一個未知的惡意框架MATA。該框架用于攻擊韓國，印度，德國和波蘭的商業公司，與Manuscrypt（Lazarus又名Hidden Cobra）代碼有相似之處。

2020年6月，研究人員分析了金融間諜活動攻擊中使用的Lazarus Operation AppleJeus和TangoDaiwbo的macOS樣本，樣本證明該小組正在積極開發非Windows惡意軟件。

Sofacy

Sofacy（又名APT28，Fancy Bear, STRONTIUM, Sednit  Tsar Team）是活躍多產的APT組織。 從大規模的零日部署到豐富的惡意軟件集，Sofacy是研究人員監控的頂級APT組織之一。Sofacy開發了用于多個平臺的模塊，其中包括2016年用于Linux的模塊，被稱為“ Fysbis”。 在Windows，macOS，iOS和Linux上發現的樣本表明核心團隊正在修改和維護代碼。

The Dukes

Dukes是一個復雜攻擊組織，于2013年首次對其進行記錄。該組織目標有車臣，烏克蘭，格魯吉亞以及西方政府和非政府組織，北約等。Dukes工具集包括一套完整功能的惡意軟件，由幾種不同的編程語言進行編寫。 該小組的惡意軟件和活動包括PinchDuke，GeminiDuke，CosmicDuke，MiniDuke，CozyDuke，OnionDuke，SeaDuke，HammerDuke和CloudDuke。

Lamberts

Lamberts是一個高度復雜的攻擊組織，擁有龐大的惡意軟件庫，包括網絡驅動后門，模塊化后門，收集工具和用于破壞性攻擊的攻擊。2017年發布了Lamberts家族概述，確定了針對Windows和Linux編譯的SilverLambert后門。

Tsunami后門

自2002年首次在野出現，Tsunami（又名Kaiten）成為多個攻擊者使用的UNIX后門，現在有70多個變體。 源代碼可以在各種嵌入式設備上編譯；，并可適用于ARM，MIPS，Sparc和Cisco 4500 / PowerPC的版本，對基于Linux的路由器，DVR和越來越多的IoT（物聯網）設備構成威脅。

Turla

Turla（又名Uroboros，Venomous Bear和Waterbug）是一個俄語組織，該組織曾使用被劫持的衛星連接，對政府網站的注水等攻擊策略。 攻擊者多年來對其工具集進行了重大更改，2014年前所有Turla使用的惡意軟件樣本都是針對32位或64位版本的Windows設計。

2014年12月發布了Turla工具庫中Linux組件Penguin Turla，該后門不需要提升特權。即使系統訪問受到限制，后門也可以攔截傳入的數據包并運行來自攻擊者的命令，如果將其安裝在受感染的服務器上，它很難被發現。今年5月，Leonardo研究人員發表了有關Penguin_x64的報告，Penguin_x64是Penguin Turla Linux后門的先前未記錄的變體。

Two-Sail Junk

2020年1月，研究人員發現水坑攻擊中完整的利用遠程iOS漏洞鏈部署了LightSpy。該網站的目的是香港的用戶。該項目支持Android，并且可能支持Windows，Linux和MacOS。

WellMess

2020年3月，研究人員開始跟蹤名為WellMess的惡意軟件。該惡意軟件最初由JPCERT在2018年7月記錄在案，其可能與CozyDuke（aka APT29）有關，目前的活動主要集中在醫療保健行業。 WellMess使用.NET和Go（Golang）編寫的遠程訪問木馬，可以交叉編譯兼容Windows和Linux。

WildNeutron

2015年首次發布了有關WildNeutron的信息。該組織在2012-2013年對Twitter，Microsoft，Apple和Facebook發動攻擊。他們的武器庫包括LSA后門，IIS插件，以及基于零日的攻擊與后門程序。在幾種已知的攻擊中，WildNeutron使用了定制的Linux后門。

Zebrocy

Zebrocy最初使用的惡意軟件是Sofacy，與其他APT組也有相似之處。該組織利用多種語言開發惡意軟件，包括Delphi，AutoIT，.NET，C＃，PowerShell和Go。 Zebrocy主要針對中亞政府相關組織。該組織廣泛使釣魚來攻擊Windows。它的后門通過80端口與Web服務器通信。該組織使用Linux作為其基礎架構的一部分，尤其喜歡使用Debian Linux上運行的Apache 2.4.10。

Linux系統保護建議

1、維護軟件的受信任來源列表；

2、安全的獲取應用程序，必須使用HTTPS或SSH協議進行加密；

3、檢查與網絡相關的設置，過濾掉主機上所有不必要打開的端口，避免使用不需要或不使用的網絡應用程序，正確設置防火墻；

4、使用密碼保護本地存儲的SSH密鑰（用于網絡服務）；

5、定期監視主要配置文件以及系統二進制文件的完整性，防文件病毒感染。

“Linux APT攻擊分析”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！