本篇內(nèi)容介紹了“Linux APT攻擊分析”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠?qū)W有所成！

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、小程序定制開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了上城免費建站歡迎大家使用！

Windows可以運行大多數(shù)APT攻擊工具，與此同時，人們普遍認為Linux系統(tǒng)較為安全，不易受到惡意代碼攻擊。多年來，Linux未遇到大量病毒、蠕蟲和木馬，但Linux中仍存在惡意軟件，包括PHP后門，rootkit等。

Linux服務(wù)器中承載了各種業(yè)務(wù)使其成為攻擊者的首要目標。如果攻擊者能夠攻陷Linux服務(wù)器，他們不僅可以訪問存儲在服務(wù)器上的數(shù)據(jù)，還可以攻擊與之通聯(lián)的Windows或macOS的服務(wù)器。

Barium

在2013年首次報告有關(guān)Winnti APT集團（又名APT41或Barium），當時他們主要針對游戲公司獲得直接的經(jīng)濟收益。他們的業(yè)務(wù)不斷擴大，開發(fā)了許多新工具，攻擊也更為復雜。

MESSAGETAP是該小組使用的Linux惡意軟件，可用于選擇性地攔截來自電信運營商的SMS消息。據(jù)FireEye稱，該組織將該惡意軟件部署在SMS網(wǎng)關(guān)系統(tǒng)上，滲透ISP和電信公司，建立監(jiān)視網(wǎng)格。

最近發(fā)現(xiàn)了另一種Barium / APT41工具，它以編程語言Go（也稱為Golang）編寫，尚不清楚它是為系統(tǒng)管理任務(wù)開發(fā)的工具，還是它也是APT41工具集的一部分，有關(guān)此工具的更多詳細信息，請參見“Suspected Barium network control tool in GO for Linux”。

Cloud Snooper

2020年2月，Sophos發(fā)布一份報告，描述了一套惡意工具Cloud Snooper。其核心是面向服務(wù)器的Linux內(nèi)核rootkit，該內(nèi)核掛鉤了netfilter流量控制功能，啟用了穿越防火墻的隱蔽C2（命令和控制）通信。發(fā)現(xiàn)了許多樣本，以及位于亞洲的目標服務(wù)器。至少從2016年開始，該工具集就一直在開發(fā)中。

Equation

在2015年發(fā)現(xiàn)了Equation，其歷史可追溯到2001年，早在1996年就參與了多個CNE（計算機網(wǎng)絡(luò)利用）。該小組擁有強大的工具庫。目前發(fā)現(xiàn)：“ EQUATIONLASER”，“ EQUATIONDRUG”，“ DOUBLEFANTASY”，“ TRIPLEFANTASY”，“ FANNY”和“ GRAYFISH”。 Equation的創(chuàng)新不僅僅限于Windows平臺。該小組的POSIX兼容代碼庫允許在其他平臺上進行開發(fā)。 2015年發(fā)現(xiàn)了針對Linux的早期DOUBLEFANTASY惡意軟件，可以收集系統(tǒng)信息和憑據(jù)，并提供受感染計算機的訪問權(quán)限。

HackingTeam

HackingTeam是一家意大利信息技術(shù)公司，向世界各國政府，執(zhí)法機構(gòu)和企業(yè)銷售“監(jiān)視軟件”。在2015年遭受數(shù)據(jù)泄露，400GB公司數(shù)據(jù)（包括源代碼和用戶數(shù)據(jù)）被盜，這些工具被全球的攻擊者（例如DancingSalome（又名Callisto））獲取，改編和使用。泄漏的工具包括針對Adobe Flash的零日漏洞利用（CVE-2015-5119），以及能夠提供遠程訪問，按鍵記錄，常規(guī)信息記錄和滲透的復雜平臺，可以檢索Skype音頻和視頻，繞過流加密，RCS（遠程控制系統(tǒng)）惡意軟件（又名Galileo，Da Vinci，Korablin，Morcut和Crisis）。

Lazarus

研究人員在2018年末發(fā)現(xiàn)一個未知的惡意框架MATA。該框架用于攻擊韓國，印度，德國和波蘭的商業(yè)公司，與Manuscrypt（Lazarus又名Hidden Cobra）代碼有相似之處。

2020年6月，研究人員分析了金融間諜活動攻擊中使用的Lazarus Operation AppleJeus和TangoDaiwbo的macOS樣本，樣本證明該小組正在積極開發(fā)非Windows惡意軟件。

Sofacy

Sofacy（又名APT28，F(xiàn)ancy Bear, STRONTIUM, Sednit  Tsar Team）是活躍多產(chǎn)的APT組織。 從大規(guī)模的零日部署到豐富的惡意軟件集，Sofacy是研究人員監(jiān)控的頂級APT組織之一。Sofacy開發(fā)了用于多個平臺的模塊，其中包括2016年用于Linux的模塊，被稱為“ Fysbis”。 在Windows，macOS，iOS和Linux上發(fā)現(xiàn)的樣本表明核心團隊正在修改和維護代碼。

The Dukes

Dukes是一個復雜攻擊組織，于2013年首次對其進行記錄。該組織目標有車臣，烏克蘭，格魯吉亞以及西方政府和非政府組織，北約等。Dukes工具集包括一套完整功能的惡意軟件，由幾種不同的編程語言進行編寫。 該小組的惡意軟件和活動包括PinchDuke，GeminiDuke，CosmicDuke，MiniDuke，CozyDuke，OnionDuke，SeaDuke，HammerDuke和CloudDuke。

Lamberts

Lamberts是一個高度復雜的攻擊組織，擁有龐大的惡意軟件庫，包括網(wǎng)絡(luò)驅(qū)動后門，模塊化后門，收集工具和用于破壞性攻擊的攻擊。2017年發(fā)布了Lamberts家族概述，確定了針對Windows和Linux編譯的SilverLambert后門。

Tsunami后門

自2002年首次在野出現(xiàn)，Tsunami（又名Kaiten）成為多個攻擊者使用的UNIX后門，現(xiàn)在有70多個變體。 源代碼可以在各種嵌入式設(shè)備上編譯；，并可適用于ARM，MIPS，Sparc和Cisco 4500 / PowerPC的版本，對基于Linux的路由器，DVR和越來越多的IoT（物聯(lián)網(wǎng)）設(shè)備構(gòu)成威脅。

Turla

Turla（又名Uroboros，Venomous Bear和Waterbug）是一個俄語組織，該組織曾使用被劫持的衛(wèi)星連接，對政府網(wǎng)站的注水等攻擊策略。 攻擊者多年來對其工具集進行了重大更改，2014年前所有Turla使用的惡意軟件樣本都是針對32位或64位版本的Windows設(shè)計。

2014年12月發(fā)布了Turla工具庫中Linux組件Penguin Turla，該后門不需要提升特權(quán)。即使系統(tǒng)訪問受到限制，后門也可以攔截傳入的數(shù)據(jù)包并運行來自攻擊者的命令，如果將其安裝在受感染的服務(wù)器上，它很難被發(fā)現(xiàn)。今年5月，Leonardo研究人員發(fā)表了有關(guān)Penguin_x64的報告，Penguin_x64是Penguin Turla Linux后門的先前未記錄的變體。

Two-Sail Junk

2020年1月，研究人員發(fā)現(xiàn)水坑攻擊中完整的利用遠程iOS漏洞鏈部署了LightSpy。該網(wǎng)站的目的是香港的用戶。該項目支持Android，并且可能支持Windows，Linux和MacOS。

WellMess

2020年3月，研究人員開始跟蹤名為WellMess的惡意軟件。該惡意軟件最初由JPCERT在2018年7月記錄在案，其可能與CozyDuke（aka APT29）有關(guān)，目前的活動主要集中在醫(yī)療保健行業(yè)。 WellMess使用.NET和Go（Golang）編寫的遠程訪問木馬，可以交叉編譯兼容Windows和Linux。

WildNeutron

2015年首次發(fā)布了有關(guān)WildNeutron的信息。該組織在2012-2013年對Twitter，Microsoft，Apple和Facebook發(fā)動攻擊。他們的武器庫包括LSA后門，IIS插件，以及基于零日的攻擊與后門程序。在幾種已知的攻擊中，WildNeutron使用了定制的Linux后門。

Zebrocy

Zebrocy最初使用的惡意軟件是Sofacy，與其他APT組也有相似之處。該組織利用多種語言開發(fā)惡意軟件，包括Delphi，AutoIT，.NET，C＃，PowerShell和Go。 Zebrocy主要針對中亞政府相關(guān)組織。該組織廣泛使釣魚來攻擊Windows。它的后門通過80端口與Web服務(wù)器通信。該組織使用Linux作為其基礎(chǔ)架構(gòu)的一部分，尤其喜歡使用Debian Linux上運行的Apache 2.4.10。

Linux系統(tǒng)保護建議

1、維護軟件的受信任來源列表；

2、安全的獲取應(yīng)用程序，必須使用HTTPS或SSH協(xié)議進行加密；

3、檢查與網(wǎng)絡(luò)相關(guān)的設(shè)置，過濾掉主機上所有不必要打開的端口，避免使用不需要或不使用的網(wǎng)絡(luò)應(yīng)用程序，正確設(shè)置防火墻；

4、使用密碼保護本地存儲的SSH密鑰（用于網(wǎng)絡(luò)服務(wù)）；

5、定期監(jiān)視主要配置文件以及系統(tǒng)二進制文件的完整性，防文件病毒感染。

“Linux APT攻擊分析”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！

本文名稱：LinuxAPT攻擊分析
分享URL：http://m.biofuelwatch.net/article/pdpjcd.html