تهدیدهای امنیتی اصلی با لینوکس چیست؟ پرسش و پاسخ با محقق ارشد نرم افزارهای مخرب ESET ، Marc ‑ Etienne M.Léveillé ، که کار وی در کشف تعدادی از سوء نرم افزارهای مخرب در سرورهای لینوکس مؤثر بوده است.
احتمال وجود دارد که کلمه "لینوکس" تصاویری از امنیت تقریبا غیرقابل نفوذ را جمع کند. . با این حال ، سیستم های رایانه ای مبتنی بر لینوکس و برنامه های کاربردی که روی آنها اجرا می شود به طور فزاینده ای در شلوغی بازیگران بد پایان می یابند و سالهای اخیر شاهد کشف تعدادی از کمپین های مخرب بودند که به سیستم های لینوکس برخورد کردند ، از جمله بات نت هایی که از هزاران سرور لینوکس ساخته شده اند. . این تهدیدات در حال افزایش این تفکر متعارف را مبنی بر اینکه لینوکس کم و بیش از مشکلاتی که بر سایر سیستم عامل ها به ویژه ویندوز تأثیر می گذارد ، به چالش کشیده است. برای کمک به تغییر آن ، مارک ایتین یک کارگاه آموزشی را در کنفرانس آینده RSA 2020 موسوم به [ شکار لینوکس برای سرگرمی و پرچم برگزار می کند ، که به متخصصان فناوری اطلاعات فرصتی عالی می دهد تا با دنیای واقعی کنار بیایند. بدافزار لینوکس در یک محیط کنترل شده.
پیش از کارگاه و ارائه وی ، ما از این فرصت استفاده کردیم تا از Marc-Etienne بخاطر افکار وی درباره امنیت لینوکس بپرسیم.
You ' سالها در شکار بدافزارهایی که به سرورهای مبتنی بر لینوکس نفوذ می کند ، گذشت. آیا می خواهید برای اولین بار به ما هلیکوپتر از تهدیدات بدافزار لینوکس را در اوایل سال 2020 ارائه دهید؟
منظره تهدید بدافزار لینوکس برای سال 2020 تقریباً شبیه به مواردی است که ما طی چند سال گذشته دیده ایم. ما می دانیم که Ebury ، پشتی OpenSSH که در عملیات Windigo مورد استفاده قرار می گیرد ، هنوز در سال 2020 به روز شده و در طبیعت مورد استفاده قرار می گیرد. نمونه های جدید طی یک ماه گذشته مشاهده شد. چند سال پیش ، در روترهای بدافزار لینوکس و سایر لوازم جانبی مبتنی بر لینوکس نیز سنبله ای وجود داشت – به عنوان مثال ، Mirai و تمام انواع آن ، و Moose. اخیراً کمتر درباره این تهدیدها می شنویم و امیدوارم که به این دلیل باشد که ارائه دهندگان خدمات اینترنتی (ISP) و فروشندگان کار بهتری در زمینه ایمن سازی این دستگاه ها انجام داده اند و از قرار گرفتن در دسترس دسترسی از راه دور با رمزهای پیش فرض خودداری می کنند.
ما هنوز کمپینی پیدا نکرده ایم. به همان اندازه پیچیده تر از عملیات Windigo که ما بیش از پنج سال پیش مستند ساختیم. این بدان معنا نیست که وجود ندارد ممکن است عاملان در ماندن در زیر رادار بهتر شوند؟
تهدیدات اصلی سرورهای لینوکس چیست؟
تهدیدها بیشتر به خدمات ارائه شده توسط سرورها بستگی دارد. . به عنوان مثال ، اگر یک وب سایت محبوب به خطر بیافتد ، می تواند برای تغییر مسیر ترافیک ، انجام یک حمله سوراخ کاری برای به خطر انداختن بازدید کنندگان خود یا سرقت داده های فرم ارسال شده از آن استفاده شود. ما همچنین شاهد مشاهده هرزنامه زیادی در مورد سرورهای به خطر افتاده هستیم. چیزی که اکنون بیش از چند سال دیگر شاهد آن هستیم ، گسترش کارگران معدن Cryptocurrency است. این یک راه ساده برای کسب درآمد از یک بات نت لینوکس بدون دخالت زیاد در خدمات میزبان قانونی است.
از زمان اولین بار بدافزار لینوکس ، چه چیزی تغییر کرده است؟
گروه هایی که حملات هدفمندی را انجام می دهند که همچنین بدافزار لینوکس را در زرادخانه خود دارند. این فراتر از کارزارهای معمول سفرهایی است که ما شاهد بودیم که برای سود مالی استفاده می شدند. به عنوان مثال ، سال گذشته کشف شد که گروه Winnti ، که هم به جاسوسی و هم برای مبارزات با انگیزه مالی مشهور است ، دارای انواع Linux در پشتی خود است. این توسط کسپرسکی در طول SAS فاش شد و چند هفته بعد توسط Chronicle آنالیز شد. مثالهای خوب دیگر قاب پشتی Xagent از جنس گروه Sednit و Kamino ، یک Backdoor OpenSSH است که توسط Carbanak استفاده می شود.
برخی از کمپین هایی که به کشف آنها کمک کرده اید سالها در زیر رادار ماندند. چرا؟ به نظر شما ممکن است این تغییر کند؟
سخت است بگوییم که آیا کمپین های بیشتری وجود دارند که در زیر رادار قرار دارند ، زیرا ما هنوز ناشناخته ها را نمی شناسیم. منظور من این است که بسیار محتمل است که چندین بوته لینوکس در آنجا وجود داشته باشد که هنوز بدون سند هستند. چند تا؟ بیشتر یا کمتر از آنها؟ سؤالات دشوار برای پاسخگویی بدون معیارها است.
چگونه عدم وجود telemetry با توجه به بدافزار لینوکس کار شما را مختل می کند؟
فقط درصد کمی از کاربران امنیت را نصب می کنند؟ محصولات در سیستم های لینوکس. این بدان معناست که تعیین شیوع تهدید لینوکس دشوار است: آیا تعداد آنها کم است زیرا اندازه نمونه ها کوچک است یا به دلیل این تهدید غیر معمول است؟ این مشکل خاص فروشنده نیست: یک روند کلی برای درمان متفاوت سیستم های لینوکس وجود دارد ، گاهی اوقات به دلایل خوب ، اما من بیشتر اوقات به دلایل ضعیف فکر می کنم.
هر وقت بدافزار جدیدی را که لینوکس را هدف قرار می داد ، کشف می شود. به نظر می رسد کاربران لینوکس شگفت زده شده و تمایل دارند این مشکل را انکار کنند. به نظر شما لینوکس نسبت به سایر سیستم عامل ها از امنیت بیشتری برخوردار است؟
بسیاری از مردم در مقایسه با سایر سیستم ها ، لینوکس را به عنوان یک سیستم عامل با امنیت برتر فکر می کنند. در سال 2020 ، من فکر نمی کنم این چیزی است که می توانیم ادعا کنیم. هم مایکروسافت و هم اپل تلاش زیادی برای امنیت سیستم عامل های خود کرده اند. به عنوان مثال ، امضاهای کد تعبیه شده در پرونده های اجرایی و اجرای امضاهای معتبر برای عملکرد کلید درایور سیستم و دستگاه ، چیزی است که سالها در ویندوز و macOS در دسترس است ، در حالی که در لینوکس هنوز هم گسترده نیست. من نمی گویم لینوکس نا امن است ، بلکه مانند سایر سیستم عامل ها دارای نقاط قوت و ضعف آن است و مطمئناً نباید آن را ضد گلوله قلمداد کرد.
آیا چیزی وجود دارد که بدافزار مبتنی بر لینوکس را از هم جدا کند. از کد مخرب که سیستم عامل های دیگر را هدف قرار می دهد؟ از نظر مخفیکاری ، خرابکاری ، زره پوش ، پایداری…؟
در مقایسه با بدافزار ویندوز ، بدافزارهای لینوکس تمایل به خراب شدن کمتر دارند و تجزیه و تحلیل آن آسان تر است. غفلت اغلب برای جلوگیری از تشخیص توسط محصولات امنیتی اضافه می شود. از آنجا که غالباً هیچگونه محصولات امنیتی برای عبور از آن وجود ندارد ، نوار پایین تر است و مهاجمان از این مرحله غیر ضروری رد می شوند. من نمی گویم که همه بدافزارهای لینوکس قابل تجزیه و تحلیل هستند و هیچ کدام دچار انسداد نیستند. من می گویم که به طور متوسط نوار کمتر است.
وقتی سرور لینوکس به خطر بیفتد ، تداوم نرم افزارهای مخرب به اندازه سایر سیستم ها مسئله ای نیست. سرورها تمایل دارند از زمان بالایی بالایی برخوردار باشند و راه اندازی مجدد به مراتب کمتر از رایانه های رومیزی یا لپ تاپ است. در نتیجه ، بدافزارهای لینوکس معمولاً فاقد سازوکارهای ماندگاری هستند.
رایج ترین بردارهای حمله برای به خطر انداختن سرورهای لینوکس چیست؟
فکر می کنم آسیب پذیری در برنامه های وب چیست؟ همچنان یکی از متداولترین بردارهای حمله برای به خطر انداختن سرورهای لینوکس است. با این حال ، ما شاهد آسیب پذیری ها در چند سال گذشته در مورد سرویس های بسیار محبوب مانند سرور نامه Exim (CVE-2019-10149) هستیم. سوءاستفاده از این آسیب پذیری بسیار آسان بود و ما بلافاصله پس از افشای آن تلاش های زیادی برای استفاده از آن برای انتشار بدافزارها دیدیم.
بهترین راه های جلوگیری از چنین نفوذی چیست؟
می دانم که ممکن است مثل یک رکورد شکسته به نظر برسد … اما به روز بودن نرم افزار هنوز یکی از توصیه های اصلی است. برای سرورهای تولیدی که دارای توزیع لینوکس با پشتیبانی طولانی مدت هستند ، ترجیح داده می شود بدون نیاز به بروزرسانی کامل سیستم عامل و در معرض خطر شکستن خدمات تولید ، دارای تکه های امنیتی در دسترس باشید.
فعال کردن تأیید هویت دو عاملی (2FA) در SSH. همچنین توصیه خوبی است ، خصوصاً اگر سیستم از اینترنت قابل دسترسی باشد. 2FA در صورت سرقت اعتبار یا استفاده مجدد از سرور محافظت می کند.
برای جلوگیری از گرایش از یک سرویس به سرویس دیگر ، ایزوله کردن خدمات نیز یک عمل خوب است. به عنوان مثال ، میزبانی وبلاگ ناشناخته در همان سیستم به عنوان وب سایت که در آن معاملات مالی انجام می شود ، خطری ایجاد می کند ، زیرا به خطر انداختن وبلاگ ممکن است منجر به به خطر افتادن وب سایت تراکنش ها شود.
پنج سال پیش ، شما گفتید فقدان دانش پزشکی قانونی لینوکس مشکل اصلی برای sysadmins است. آیا این تغییر کرده است؟
فکر می کنم این مسئله هنوز هم یک مشکل است ، اما دلیل اصلی این امر نیز کمبود وقت برای تأمین امنیت سیستم ها ، در مقایسه با توسعه سیستم های جدید است. به طور مشابه ، تلاش صرف شده برای آموزش کارکنان داخلی در مورد امنیت اغلب حداقل است. این چیز جدیدی نیست که امنیت اغلب به عنوان هزینه ای در نظر گرفته می شود. این یک مشکل خاص برای لینوکس نیست. با این حال ، اگر یک حادثه اتفاق بیفتد ، ناگهان ارزش آن به نظر می رسد.
حالا بیایید توجه ما را به کارگاه آینده شما در RSA جلب کنیم. آیا می خواهید به فعالیتهای شما در آنجا نگاهی دزدکی بیندازید؟
این اولین بار در RSA خواهد بود. امیدوارم مطالب فنی جالبی را در قالب یک کارگاه دستی و یک ارائه در روز پنجشنبه در طول رویداد ارائه دهم.
این کارگاه در طول هفته کامل RSA افتتاح می شود و فقط شما را به داشتن رایانه ای نیاز دارد. یک مرورگر وب ، مشتری OpenVPN و مشتری SSH. ساخته شده است تا حد ممکن به یک وضعیت واقعی نزدیک باشد: سرور با استفاده از یک سرویس آسیب پذیر ، گفتگوهای مخرب با یک سرور C&C و غیره به طور جدی به خطر می افتد. برای دسترسی به کارگاه به ما مراجعه کنید تا در غرفه ESET بازدید کنید.
ارائه من خلاصه ابزارهای مختلف لینوکس است که معمولاً برای بررسی یک نقض در دسترس است. مهم است که بدانیم چه داده ها و ابرداده ها در دسترس هستند و چگونه می توان آنها را جستجو و تحلیل کرد. من توضیح خواهم داد که چگونه این ابزارها در حوادث واقعی که ما روی آنها کار کرده ایم ، مفید بودند.
با تشکر از شما ، مارک- اتین!
