APT攻击对应Linux系统总结

2020/10/11 12:11:00

引言

       由于Windows的普及程度很高,我们发现的大多数APT攻击工具都应用在此系统上。与此同时,人们普遍认为Linux是默认安全的操作系统,不易受到恶意代码的攻击。诚然,Linux用户多年来并没有像Windows用户那样面临大量病毒、蠕虫和特洛伊木马的威胁。但是,Linux环境中确实是存在恶意软件的,包括PHP后门,rootkit和漏洞代码。Linux服务器的战略重要性使其更容易成为各种攻击者的目标。如果攻击者能够攻陷Linux服务器,他们不仅可以访问存储在服务器上的数据,而且还可以将攻击目标转向,与被攻陷Linux服务器通信的终端,这些终端可能运行Windows系统或macOS系统,例如:“drive-by download”(路过式下载,指在用户不知道的情况下自动给用户电脑下载间谍软件)。此外,运行Linux系统的计算机更有可能没安装安全软件,因此即使被攻击了,也很有可能得不到有效检测和发现。2014年,Heartbleed和Shellshock漏洞首次暴露,这两个漏洞会使得受感染的Linux服务器成为攻击者进入公司网络的网关,并使攻击者可以访问受害公司的敏感数据。


       卡巴斯基全球研究与分析团队(GReAT)持续追踪各厂商发布的 APT 报告,对相关内容进行深入研究,定期发布高级持续威胁(APT)活动的摘要。本报告重点介绍了针对Linux环境发起攻击的APT组织及其使用到的工具。


Barium

       卡巴斯基团队在2013年首次公布了有关Winnti APT集团(又名APT41或Barium)的研究报告,该团伙起初主要针对游戏公司,以获得直接的经济利益。后来,他们扩大了“业务范围”,开发了许多新工具用于攻击更大的机构。MESSAGETAP是该小组使用的Linux恶意软件,用于选择性地拦截来自电信运营商基础结构的SMS消息。根据FireEye的说法,该组织将此恶意软件部署在SMS网关系统上,作为合法服务的一部分,以此对ISP和电信公司进行渗透,建立监视网络。

       最近,卡巴斯基团队发现了另一个可疑的Barium/APT41工具,它用 Go语言(也称为 Golang)编写,该工具实现了Linux环境下动态的、C2可控的数据包损坏/网络攻击工具。尽管尚不清楚它是为系统任务管理而开发的工具,还是它也是APT41工具集的一部分。但从它提供的功能也可以通过其他系统管理工具实现这一线索表明,它是具有恶意性的。此外,它在磁盘上显示的名称是相当常见的,与它的功能毫无关联。这再次表明它可能是用于执行某些隐蔽攻击的工具。


Cloud Snooper

       2020年2月,Sophos发布了一份报告,披露了一个新的攻击组织Cloud Snooper,并且披露了此组织使用的一套恶意软件。核心是面向Linux服务器的内核rootkit,该内核模块挂钩了netfilter 流量控制功能,以启用穿越防火墙的隐蔽C2(命令和控制)通信。卡巴斯基团队分析了与此内核模块配套的用户层后门,称为“Snoopy”,并能够配置检测和扫描方法来大规模识别Rootkit。卡巴斯基团队还展示了更多相关样本,以及部署在亚洲的目标服务器。卡巴斯基团队相信,这一不断迭代改进的工具集至少从2016年起就被开发出来了。


Equation      

       卡巴斯基团队在2015年发现了Equation组织。这是一个非常强大的黑客组织,其活动最早可以追溯到2001年,甚至早在1996年就参与了多个CNE(计算机网络利用)活动。多年来,该组织与其他强大的APT团体进行了互动或合作。例如Stuxnet和Flame。该小组拥有强大的植入库。卡巴斯基团队发现的是:“EQUATIONLASER”,“EQUATIONDRUG”,“DOUBLEFANTASY”,“ TRIPLEFANTASY”,“ FANNY”和“ GRAYFISH”。Equation组织的活动不限于Windows平台。该小组的POSIX兼容代码库允许在其他平台上进行并行开发。2015年,卡巴斯基团队发现了针对Linux的早期DOUBLEFANTASY恶意软件。该恶意软件植入后会收集系统信息和凭据,并提供对受感染计算机的合规访问。考虑到该模块在感染生命周期中所扮演的角色,在此模块运行之后,后续应该还有更复杂的模块,虽然卡巴斯基团队目前还没有发现。


HackingTeam

       HackingTeam是来自意大利的知名网络武器制造商,面向世界各国政府、执法机构和企业提供其研制的各类渗透与远控工具。不幸的是,在2015年他们被名为“PhineasPhisher”的黑客攻击,随后被盗的400GB公司数据(包括源代码和客户信息)被公开。这使得其工具可以被全球的黑客组织(例如DancingSalome(又名Callisto ))获取、改编和使用。泄漏的工具中甚至包括Adobe Flash的0day漏洞(CVE-2015-5119)利用工具以及能够提供远程访问、按键记录、常规信息记录和渗透等功能的远控系统(RCS)。

       也许最值得注意的是,它能够绕过加密流量传输,直接从内存中找出 Skype 音频和视频帧。该公司的RCS系统包含许多版本,又名Galileo,Da Vinci,Korablin,Morcut 和Crisis,不同的版本又包含很多组件,支持 Windows、macOS 以及.Linux系统环境中运行。


Lazarus

       在2018年末,卡巴斯基团队发现了一种新型恶意攻击框架,并在内部将其命名为MATA。相关攻击集中于韩国,印度,德国和波兰的商业公司。尽管文章分析人员声称攻击中使用的恶意代码与任何已知攻击组织使用的代码都不相同,但经过卡巴斯基反病毒引擎分析后发现,其与Manuscrypt (Lazarus(又名Hidden Cobra)使用的复杂恶意软件)的代码相似。与Lazarus开发的早期恶意软件一样,此框架包括Windows后门。不过,卡巴斯基团队还发现了一个Linux变种,并认为是针对网络设备设计的。

       2020年6月,卡巴斯基团队分析了与金融和间谍活动攻击中使用的Lazarus Operation AppleJeus和TangoDaiwbo 活动相关的新macOS样本。样本已上传到VirusTotal 。上传的文件还包括Linux恶意软件变种,其中包括与macOS TangoDaiwbo 恶意软件类似的功能。这些样本证实了两年前卡巴斯基团队团队强调的一种发展趋势——该小组正在积极开发非Windows恶意软件。


Sofacy

       Sofacy(又名APT28,FancyBear,STRONTIUM,Sednit 和Tsar Team)是活跃且多产的APT组织。从大规模的0day利用到恶意软件集的定制开发,Sofacy 组织都有涉及,是卡巴斯基团队分析团队监控的顶级团队之一。该组织武器库中的工具包括SPLM(也称为CHOPSTICK和XAgent ),这是第二阶段工具,用于对全球目标进行定制化攻击。Sofacy 针对各类系统环境开发了多种工具模块,其中包括2016年用于Linux的模块,被称为“ Fysbis ”。多年来在Windows,macOS,iOS和Linux环境中发现了具有较强家族特性的恶意模块,这说明该组织的开发人员或一些核心小组仍在修改和维护相关代码。


The Dukes

       The Dukes是一个复杂的威胁参与者,最早由美国在2013年记录在案,但其工具攻击可以追溯到2008年,该组织负责对车臣,乌克兰,格鲁吉亚以及西方政府和非政府组织的目标发动袭击,该组织被认为是2016年民主党全国代表大会黑客攻击的幕后黑手。Dukes 的工具集包括一组实现类似功能的恶意软件,但以几种不同的编程语言进行编码。

        该组织的恶意软件和活动包括PinchDuke , GeminiDuke , CosmicDuke , MiniDuke , CozyDuke , OnionDuke , SeaDuke , HammerDuke 和CloudDuke 。其中有至少一个SeaDuke 包括Linux变体。



The Lamberts

       Lamberts是一个高度复杂的威胁参与者组织,据称拥有庞大的恶意软件库,包括被动的,网络驱动的后门,几代模块化后门,收集工具和用于进行破坏性攻击的wipers。卡巴斯基团队创建了一种配色方案,以区分针对全球不同受害者的各种工具和植入程序。


Tsunami backdoor

       Tsunami(又名Kaiten )是多个威胁组织使用的UNIX后门,2002年首次被发现用于攻击中。源代码是几年前公开的;现在有70多个变种。源代码可以在各种嵌入式设备上顺利编译;并且有用于ARM,MIPS,Sparc和Cisco4500 / PowerPC的版本。Tsunami仍然对基于Linux的路由器,DVR和越来越多的IoT(物联网)设备构成威胁。2016年,一个Tsunami后门的变种,被用于攻击Linux Mint,当时一个未知的攻击组织入侵了Linux Mint的发行版ISO,并植入了后门。卡巴斯基团队还观察到使用Tsunami后门在Linux上对一些加密货币用户进行surgically攻击。


Turla

       Turla (又名Uroboros,Venomous Bear和Waterbug )是一个讲俄语的组织,以其秘密的渗透策略而闻名,例如使用被劫持的卫星连接,政府的水坑网站,秘密渠道后门,rootkit和欺骗策略。像其他APT组织一样,该威胁参与者多年来也对其工具集进行了重大更改。直到2014年,卡巴斯基团队看到的Turla 使用的每个恶意软件样本都是针对32位或64位版本的Windows设计的。

        然后在2014年12月,卡巴斯基团队发布了有关Turla工具库中Linux组件PenguinTurla的报告。这是一个隐蔽的后门,不需要提升的特权,即管理员或root权限。即使对系统具有有限访问权限的人启动它,后门也可以拦截传入数据包并在系统上保持隐身的同时,运行攻击者发来的指令。这也是相当难以发现,因此,如果将其安装在受感染的服务器上,则可能会长时间不被注意。对Penguin Turla的进一步研究表明,其起源可以追溯到1990年代中期的Moonlight Maze行动。今年5月,来自Leonardo的研究人员发表了有关Penguin_x64的报告,Penguin_x64是Penguin Turla Linux后门之前没有发现的变种。根据此报告,卡巴斯基团队生成了可大规模检测Penquin_x64感染主机的网络探针,使卡巴斯基团队能够在欧洲和美国发现几十个受感染服务器,最近截至 2020 年 7 月。卡巴斯基团队相信,在GNU/Linux工具公开文献之后,Turla可能会将Penguin改造,以便于进行传统情报收集以外的其他行动。

 

Two-Sail Junk 

       2020年1月,发现一个水坑,该水坑利用完整的远程iOS漏洞开发链部署了一个功能丰富的植入程序LightSpy 。该网站的目的是根据目标网页的内容来定位香港的用户。目前,卡巴斯基团队可以将活动关联到一个已知的攻击组织,卡巴斯基团队已经给这个植入程序背后的威胁参与者命名为" Two-Sail Junk"。但是,尽管卡巴斯基团队的公共报告侧重于 iOS 植入程序,但该项目比以前想象的要广泛,支持Android植入程序,并且可能支持Windows,Linux和MacOS的植入程序。

 

WellMess 

       2020 年 3 月,卡巴斯基团队开始积极跟踪与恶意软件(通常称为 WellMess)关联的新 C2 服务器,这表明可能会有大规模的新活动。该恶意软件最初由JPCERT于2018年7月记录在案,并从那时起一直零散活跃。有传言暗示可能与CozyDuke组织(又名APT29)存在联系,并猜测目前的活动集中在医疗保健行业,尽管卡巴斯基团队无法证实任何说法。WellMess 是一种用.NET和Go(Golang)编写的远程访问木马,可同时兼容 Windows 和 Linux。

  

WildNeutron 

       卡巴斯基团队在2015年与Symantec的同事一起首次发布了有关WildNeutron攻击组织的信息,Symantec的同事称之为Morph或Butterfly。这个组织在2012-2013年对Twitter,Microsoft,Apple和Facebook的攻击中脱颖而出,是卡巴斯基团队所见到的最难以捉摸,最神秘和最活跃的群体之一。他们的武器库包括许多有趣且创新的工具,例如LSA后门或IIS插件,以及基于零日的部署和物理部署。毫不奇怪,在几种已知的攻击中,WildNeutron也使用了定制的Linux后门。

  

Zebrocy

       Zebrocy 是自 2015 年以来卡巴斯基团队一直在跟踪的自定义恶意软件。使用此恶意软件的组织最初是隶属于Sofacy 攻击组织,但也与其他 APT组织有相似和重叠之处。该小组已经开发了多种语言的恶意软件,包括Delphi,AutoIT ,.NET,C#,PowerShell和Go。Zebrocy 主要针对中亚政府和与政府有关的组织,包括国内部门和驻外机构。该组织广泛使用鱼叉式网络钓鱼来破坏Windows终端。但是,其后门通过80端口与指定IP的Web服务器直接通信。并且该小组似乎更喜欢Linux作为其基础架构的一部分——特别是在Debian Linux上运行的Apache 2.4.10。

 

保护Linux系统的建议 

       Linux系统不受保护,其中一个重要的原因是,使用Linux而不是更流行(也更有针对性)的Windows,会产生一种错误的安全感。尽管如此,卡巴斯基团队希望上述所有观点都足够令人信服,让您开始认真地保护基于Linux的计算机。

       第一个建议是维护软件的可信来源列表。就像安装Android或iOS应用程序推荐的方法一样——仅从官方存储库安装应用程序。在Linux世界中,用户享有更大的自由:例如,即使您使用的是Ubuntu,也不仅限于Canonical 自己的存储库。任何.DEB文件,甚至GitHub上的应用程序源代码都可以为您服务,但是请明智地选择这些来源。

       还请注意从这些受信任的存储库中获取应用程序的安全方法。您更新应用程序的渠道必须使用HTTPS或SSH协议进行加密。除了您信任软件源及其交付渠道之外,及时更新至关重要。大多数现代Linux版本都可以为您做到这一点,但是简单的cron 脚本可以帮助您得到更多的保护,并在开发人员发布修补程序后立即获取所有修补程序。

       卡巴斯基团队建议的下一步是检查与网络相关的设置。使用“ netstat -a”之类的命令,您可以过滤掉主机上所有不必要的打开的端口。请使用您真正需要或使用的网络应用程序,以最大程度地减少网络占用空间。另外,强烈建议从Linux发行版中正确设置防火墙,以过滤流量并存储主机的网络活动。不直接上网,而是通过NAT也是一个好主意。

       为了继续执行与网络相关的安全规则,卡巴斯基团队建议至少使用密码保护本地存储的SSH密钥(用于网络服务)。在更“偏执”模式下,您甚至可以将密钥存储在外部受保护的存储中,例如来自任何受信任供应商的令牌。在连接的服务器端,现在为 SSH会话设置多重身份验证并不难,例如发送到手机的消息或其他机制(例如身份验证器应用程序)。

       到目前为止,卡巴斯基团队的建议涵盖了软件来源,应用程序交付渠道,避免了不必要的网络占用空间和保护加密密钥。卡巴斯基团队建议在文件系统级别监视您找不到的威胁的一个想法是保留并分析网络活动日志。您可以安装并使用带外网络分接头来独立监视和分析Linux系统的网络通信。

       作为威胁模型的一部分,您需要考虑以下可能性:尽管采取了上述所有措施,攻击者仍可能破坏您的保护。考虑到攻击者在系统中的持久性,考虑下一个保护步骤。他们可能会进行更改,以便能够在系统重新启动后自动启动特洛伊木马程序。

       因此,您需要定期监视主要配置文件以及系统二进制文件的完整性,以防文件病毒感染。上面提到的用于监视网络通信的日志在此处完全适用:Linux审核系统收集系统调用和文件访问记录。其他守护程序(例如“ osquery ”)可以用于同一任务。

       设备的物理安全性也很重要。如果您的笔记本电脑最终落入攻击者的手中,并且您没有采取措施保护它免受攻击,则无论您对网络和系统级别强化的关注程度如何,也无关紧要。应考虑全磁盘加密和安全启动机制,以保障物理安全。一种更像间谍的方法是将防篡改安全磁带放置在最关键的硬件上。

       具有Linux安全性的专用解决方案可以简化保护任务:Web威胁防护可以检测到恶意网站和网络钓鱼网站;网络威胁防护可检测传入流量中的网络攻击;行为分析可以检测到恶意活动,而设备控制则可以管理连接的设备并对其进行访问。

       卡巴斯基团队的最终建议与Docker有关。这不是理论上的威胁:容器的感染是一个非常现实的问题。容器化本身并不能提供安全性。一些容器与主机之间是完全隔离的,但并非所有容器都存在于网络和文件系统接口中,并且在大多数情况下,物理世界和容器化世界之间存在桥梁。

       因此,您可以使用允许在开发过程中添加安全性的安全解决方案。卡巴斯基混合云安全性通过脚本在不同阶段扫描Docker映像中的恶意元素,包括与Jenkins等CI / CD平台集成。

       为了防止供应链攻击,可以使用容器,图像以及本地和远程存储库的OAS和按需扫描ODS。命名空间监视、基于掩码的灵活扫描范围控制以及扫描不同层容器的能力有助于实施安全开发最佳实践。

       卡巴斯基团队已将此建议列表分为逻辑部分。请记住,除了应用卡巴斯基团队提到的所有措施之外,您还应该定期审核并检查所有生成的日志和任何其他消息。否则,您可能会错过入侵的迹象。对于安全爱好者来说,最终的想法是采取积极措施,不时提供系统渗透测试。


建议与总结:

● 维护受信任的软件源列表,避免通过未加密的方式进行更新。

 

● 不要执行从不可信的软件源下载的二进制文件和脚本。尤其是使用“curl https:// install-url | sudo bash”命令。

 

● 确保更新过程的有效性,并设置自动更新。

 

● 花时间来正确设置防火墙:确保它记录了网络活动,阻止了所有未使用的端口,并最大程度地减少了网络占用空间。

 

● 使用基于密钥的SSH身份验证,使用密码保护密钥。

 

● 使用双因素认证(2FA)并将敏感密钥存储在外部令牌设备(例如Yubikey )上。

 

● 使用带外网络分接头独立监视和分析Linux系统的网络通信。

 

● 维护系统可执行文件的完整性。定期检查配置文件更改。

 

● 为内部/物理攻击做好准备:使用全盘加密,可信/安全启动,并在关键硬件上安装防篡改性安全磁带。

 

● 主机审计、日志检查,形成攻击指示器(IOA)。

 

● 对linux主机进行渗透测试。

 

● 使用具有Web和网络保护以及DevOps保护功能的专用Linux安全解决方案。