هل عام 2020 هو عام جائحة البرامج الضارة لنظام Linux؟

سمعتها الأمنية تعني أن Linux غالبًا ما يكون أقل عرضة لأنواع التهديدات التي تصيب أنظمة Microsoft Windows بانتظام. يأتي الكثير من هذا الأمان المتصور من العدد المنخفض نسبيًا لأنظمة Linux ، ولكن هل بدأ مجرمو الإنترنت يرون قيمة في اختيار الجودة على الكمية ؟

مشهد تهديد Linux يتغير

يحذر باحثو الأمن في شركات مثل Kaspersky و Blackberry ، إلى جانب الوكالات الفيدرالية مثل FBI و NSA ، من زيادة تركيز مؤلفي البرامج الضارة على Linux.

يتم التعرف على نظام التشغيل الآن كبوابة للبيانات القيمة مثل الأسرار التجارية والملكية الفكرية ومعلومات الموظفين. يمكن أيضًا استخدام خوادم Linux كنقطة انطلاق لإصابة شبكات أوسع مليئة بأنظمة Windows و macOS و Android.

حتى لو لم يكن نظام التشغيل يعمل على سطح المكتب أو الكمبيوتر المحمول ، فمن المحتمل أن تتعرض بياناتك لنظام Linux عاجلاً أم آجلاً. من شبه المؤكد أن التخزين السحابي وشبكة VPN وموفري البريد الإلكتروني ، بالإضافة إلى صاحب العمل أو شركة التأمين الصحي أو الخدمات الحكومية أو الجامعة التي تعمل بها ، يقومون بتشغيل Linux كجزء من شبكاتهم ، ومن المحتمل أنك تمتلك أو ستمتلك Internet Of Linux. جهاز الأشياء (IoT) الآن أو في المستقبل.

تم الكشف عن تهديدات متعددة خلال الأشهر الـ 12 الماضية. يُعرف بعضها ببرامج ضارة لنظام التشغيل Windows تم نقلها إلى Linux ، بينما ظل البعض الآخر يجلس دون أن يتم اكتشافه على الخوادم منذ ما يقرب من عقد من الزمان ، مما يوضح مدى تقدير فرق الأمان للخطر.

قد يفترض العديد من مسؤولي الأنظمة أن مؤسستهم ليست مهمة بما يكفي لتكون هدفًا. ومع ذلك ، حتى إذا لم تكن شبكتك جائزة كبيرة ، فقد يكون مورديك أو عملائك أكثر إغراءًا ، وقد يكون الوصول إلى نظامك ، عبر هجوم تصيد ، على سبيل المثال ، خطوة أولى لاختراق شبكتهم. لذلك من الجدير تقييم كيفية حماية نظامك .

تم اكتشاف برامج Linux الضارة في عام 2020

فيما يلي تقريرنا حول التهديدات التي تم تحديدها خلال العام الماضي.

RansomEXX طروادة

كشف باحثو كاسبرسكي في نوفمبر أن حصان طروادة هذا قد تم نقله إلى لينكس كملف تنفيذي. يُترك للضحية ملفات مشفرة باستخدام تشفير AES 256 بت وتعليمات حول الاتصال بمؤلفي البرامج الضارة لاستعادة بياناتهم.

هاجمت نسخة Windows بعض الأهداف المهمة في عام 2020 ، بما في ذلك Konica Minolta ، ووزارة النقل في تكساس ، ونظام المحاكم البرازيلي.

تم تصميم RansomEXX خصيصًا لكل ضحية ، مع تضمين اسم المنظمة في كل من امتداد الملف المشفر وعنوان البريد الإلكتروني في مذكرة الفدية.

معجون الجيت -12

Gitpaste-12 هو دودة جديدة تصيب خوادم x86 وأجهزة إنترنت الأشياء التي تعمل بنظام Linux. حصل على اسمه من استخدامه لـ GitHub و Pastebin لتنزيل التعليمات البرمجية ، ولإثني عشر طريقة هجوم.

يمكن للدودة تعطيل AppArmor و SELinux وجدران الحماية والدفاعات الأخرى بالإضافة إلى تثبيت عامل منجم للعملات المشفرة.

IPStorm

تم اكتشاف نسخة جديدة معروفة على نظام التشغيل Windows منذ مايو 2019 ، من هذه الروبوتات القادرة على مهاجمة نظام Linux في سبتمبر. إنه ينزع سلاح قاتل نفاد الذاكرة في Linux للحفاظ على تشغيل نفسه ويقتل عمليات الأمان التي قد تمنعه ​​من العمل.

يأتي إصدار Linux مزودًا بقدرات إضافية مثل استخدام SSH للعثور على الأهداف ، واستغلال خدمات ألعاب Steam ، والزحف إلى مواقع الويب الإباحية لخداع النقرات على الإعلانات.

كما أن له طعم إصابة أجهزة Android المتصلة عبر Android Debug Bridge (ADB).

دروفروب

سلط مكتب التحقيقات الفدرالي ووكالة الأمن القومي الضوء على هذه الجذور الخفية في تحذير في أغسطس. يمكنه التهرب من المسؤولين وبرامج مكافحة الفيروسات ، وتشغيل أوامر الجذر ، والسماح للمتسللين بتحميل الملفات وتنزيلها. وفقًا للوكالتين ، فإن Drovorub هو عمل Fancy Bear ، وهي مجموعة من المتسللين الذين يعملون لصالح الحكومة الروسية.

يصعب اكتشاف العدوى ، ولكن الترقية إلى 3.7 kernel على الأقل وحظر وحدات النواة غير الموثوقة يجب أن يساعدا في تجنبها.

لوسيفر

ظهر تعدين Lucifer الخبيث للشفرة ورفض الخدمة الموزعة لأول مرة على Windows في يونيو وعلى Linux في أغسطس. يسمح تجسيد Lucifer's Linux لهجمات DDoS المستندة إلى HTTP وكذلك عبر TCP و UCP و ICMP.

Penquin_x64

تم الكشف عن هذه السلالة الجديدة من عائلة Turla Penquin من البرامج الضارة من قبل الباحثين في مايو. إنه باب خلفي يسمح للمهاجمين باعتراض حركة مرور الشبكة وتشغيل الأوامر دون الحصول على الجذر.

وجدت Kaspersky أن الثغرة تعمل على عشرات الخوادم في الولايات المتحدة وأوروبا في يوليو.

دوكي

Doki هي أداة خلفية تستهدف بشكل أساسي خوادم Docker سيئة الإعداد لتثبيت أدوات التعدين المشفرة.

في حين أن البرامج الضارة عادة ما تتصل بعناوين IP أو عناوين URL محددة مسبقًا لتلقي التعليمات ، فقد قام منشئو Doki بإعداد نظام ديناميكي يستخدم واجهة برمجة تطبيقات blockchain Dogecoin crypto. هذا يجعل من الصعب إزالة البنية التحتية للأوامر حيث يمكن لمشغلي البرامج الضارة تغيير خادم التحكم بمعاملة Dogecoin واحدة فقط.

لتجنب Doki ، يجب عليك التأكد من تكوين واجهة إدارة Docker بشكل صحيح.

تريكبوت

TrickBot هو حصان طروادة مصرفي يستخدم لهجمات برامج الفدية وسرقة الهوية ، وهو ما أدى أيضًا إلى الانتقال من Windows إلى Linux. Anchor_DNS ، إحدى الأدوات التي استخدمتها المجموعة التي تقف وراء TrickBot ، ظهرت في أحد إصدارات Linux في يوليو.

يعمل Anchor_Linux كباب خلفي وينتشر عادة عبر ملفات مضغوطة. تقوم البرامج الضارة بإعداد مهمة cron وتتصل بخادم التحكم عبر استعلامات DNS.

ذات صلة: كيفية اكتشاف رسالة بريد إلكتروني مخادعة

قطب

عادةً ما ينتشر Tycoon Trojan كبيئة Java Runtime تم اختراقها داخل أرشيف مضغوط. اكتشف الباحثون أنه في يونيو يعمل على أنظمة Windows و Linux للشركات الصغيرة والمتوسطة الحجم وكذلك المؤسسات التعليمية. يقوم بتشفير الملفات ويطالب بفدية.

سحابة سنوبر

يقوم برنامج rootkit باختطاف Netfilter لإخفاء الأوامر وسرقة البيانات بين حركة مرور الويب العادية لتجاوز جدران الحماية.

تم تحديده لأول مرة على سحابة Amazon Web Services في فبراير ، ويمكن استخدام النظام للتحكم في البرامج الضارة على أي خادم خلف أي جدار حماية.

بوويرجوست

في فبراير أيضًا ، اكتشف الباحثون في Trend Micro أن PowerGhost حقق قفزة من Windows إلى Linux. هذا هو عامل منجم العملة المشفرة بدون ملفات يمكنه إبطاء نظامك وتدهور الأجهزة من خلال زيادة البلى.

يمكن لإصدار Linux إلغاء تثبيت منتجات مكافحة البرامج الضارة أو القضاء عليها ويظل نشطًا باستخدام مهمة cron. يمكنه تثبيت برامج ضارة أخرى ، والحصول على الوصول إلى الجذر ، والانتشار عبر الشبكات باستخدام SSH.

فريتزفروج

منذ أن تم تحديد شبكة الروبوتات من نظير إلى نظير (P2P) لأول مرة في يناير 2020 ، تم العثور على 20 إصدارًا آخر. الضحايا تشمل الحكومات والجامعات والمراكز الطبية والبنوك.

Fritzfrog عبارة عن برنامج ضار لا يحتوي على ملفات ، وهو نوع من التهديد الذي يعيش في ذاكرة الوصول العشوائي بدلاً من محرك الأقراص الثابتة لديك ويستغل نقاط الضعف في البرامج الحالية للقيام بعملها. بدلاً من الخوادم ، تستخدم P2P لإرسال اتصالات SSH المشفرة لتنسيق الهجمات عبر أجهزة مختلفة ، وتحديث نفسها ، وضمان نشر العمل بالتساوي عبر الشبكة.

على الرغم من أنه ليس ملفًا ، إلا أن Fritzfrog يقوم بإنشاء باب خلفي باستخدام مفتاح SSH عام للسماح بالوصول في المستقبل. ثم يتم حفظ معلومات تسجيل الدخول للأجهزة المخترقة عبر الشبكة.

توفر كلمات المرور القوية ومصادقة المفتاح العام الحماية من هذا الهجوم. يعد تغيير منفذ SSH أو إيقاف تشغيل وصول SSH إذا كنت لا تستخدمه فكرة جيدة أيضًا.

FinSpy

تبيع FinFisher برنامج FinSpy المرتبط بالتجسس على الصحفيين والنشطاء كحل مراقبة جاهز للحكومات. كشفت منظمة العفو الدولية ، التي شوهدت سابقًا على نظامي التشغيل Windows و Android ، عن إصدار Linux من البرنامج الضار في نوفمبر 2019.

يسمح FinSpy بالتنصت على حركة المرور والوصول إلى البيانات الخاصة وتسجيل الفيديو والصوت من الأجهزة المصابة.

وصل الأمر إلى الوعي العام في عام 2011 عندما وجد المتظاهرون عقدًا لشراء FinSpy في مكاتب جهاز الأمن المصري الوحشي بعد الإطاحة بالرئيس مبارك.

هل حان الوقت لمستخدمي Linux لبدء التعامل مع الأمن بجدية؟

في حين أن مستخدمي Linux قد لا يكونون عرضة للعديد من التهديدات الأمنية مثل مستخدمي Windows ، فلا شك أن قيمة وحجم البيانات التي تحتفظ بها أنظمة Linux تجعل النظام الأساسي أكثر جاذبية لمجرمي الإنترنت.

إذا كان مكتب التحقيقات الفيدرالي ووكالة الأمن القومي قلقين ، فيجب على التجار الفرديين أو الشركات الصغيرة التي تعمل بنظام Linux البدء في إيلاء المزيد من الاهتمام للأمان الآن إذا كانوا يريدون تجنب التعرض لأضرار جانبية أثناء الهجمات المستقبلية على المؤسسات الكبيرة.

فيما يلي نصائحنا لحماية نفسك من القائمة المتزايدة لبرامج Linux الضارة:

  • لا تقم بتشغيل ثنائيات أو نصوص من مصادر غير معروفة.
  • قم بتثبيت برامج الأمان مثل برامج مكافحة الفيروسات وأجهزة الكشف عن الجذور الخفية.
  • كن حذرًا عند تثبيت البرامج باستخدام أوامر مثل curl. لا تقم بتشغيل الأمر حتى تفهم تمامًا ما سيفعله ، ابدأ بحث سطر الأوامر هنا .
  • تعرف على كيفية إعداد جدار الحماية الخاص بك بشكل صحيح. يجب أن تسجل جميع أنشطة الشبكة ، وتحظر المنافذ غير المستخدمة ، وتحافظ بشكل عام على تعرضك للشبكة إلى الحد الأدنى الضروري.
  • قم بتحديث نظامك بانتظام ؛ تعيين تحديثات الأمان ليتم تثبيتها تلقائيًا.
  • تأكد من إرسال تحديثاتك عبر اتصالات مشفرة.
  • قم بتمكين نظام مصادقة قائم على المفتاح لـ SSH وكلمة المرور لحماية المفاتيح.
  • استخدم المصادقة ذات العاملين (2FA) واحتفظ بالمفاتيح على الأجهزة الخارجية مثل Yubikey.
  • تحقق من السجلات بحثًا عن أدلة على الهجمات.