它在安全方面的声誉意味着Linux通常被认为不易受到经常困扰微软Windows系统的各种威胁的攻击。这种安全感大部分来自于数量相对较少的Linux系统，但网络犯罪分子是否开始看到选择质量而不是数量的价值？

linux威胁形势正在发生变化

卡巴斯基（Kaspersky）和黑莓（Blackberry）等公司的安全研究人员，以及联邦调查局（FBI）和美国****局（NSA）等联邦机构警告说，恶意软件的作者正在加大对Linux的关注。

操作系统现在被公认为是获取商业秘密、知识产权和人事信息等有价值数据的门户。Linux服务器也可以作为一个中转站，用于感染更广泛的网络，其中充斥着Windows、macOS和Android设备。

即使不是运行在你的台式机或笔记本电脑上的操作系统，你的数据迟早会暴露在Linux下。您的云存储、VPN和电子邮件提供商，以及您的雇主、医疗保险公司、**服务机构或大学，几乎可以肯定地将Linux作为其网络的一部分来运行，而且您现在或将来都有可能拥有或将拥有一台支持Linux的物联网（IoT）设备。

在过去12个月中，已经发现了多个威胁。一些是已知的移植到Linux的Windows恶意软件，而另一些则在服务器上潜伏了近10年未被发现，这表明安全团队低估了风险的程度。

许多系统管理员可能认为他们的组织不够重要，不足以成为目标。然而，即使你的网络不是一个大的奖品，你的供应商或客户可能会被证明更具诱惑力，通过网络钓鱼攻击访问你的系统，例如，可能是渗透他们的第一步。因此，评估如何保护您的系统是值得的。

2020年发现linux恶意软件

下面是我们对去年发现的威胁的总结。

ransomexx特洛伊木马程序

卡巴斯基的研究人员在11月透露，这个特洛伊木马已经作为可执行文件移植到Linux。受害者留下了用256位AES密码加密的文件，以及关于联系恶意软件作者以恢复其数据的说明。

Windows版本在2020年攻击了一些重要目标，包括Konica Minolta、德克萨斯州交通部和巴西**系统。

RansomEXX是专门为每个受害者定制的，加密文件扩展名和赎金通知单上的电子邮件地址都包含了组织的名称。

吉特膏-12

gitplaste-12是一种新的蠕虫病毒，它会感染运行Linux的x86服务器和物联网设备。它的名字来源于它使用GitHub和Pastebin下载代码，以及它的12种攻击方法。

该蠕虫可以禁用AppArmor、SELinux、防火墙和其他防御，以及安装加密货币矿工。

伊普斯托姆

自2019年5月在Windows上出现以来，这种能够攻击Linux的僵尸网络的新版本在9月被发现。它解除了Linux内存不足的**锏以保持自身的运行，并杀死了可能阻止它工作的安全进程。

Linux版本还提供了额外的功能，比如使用SSH查找目标、利用Steam游戏服务、抓取****来欺骗广告点击。

它还喜欢感染通过Android调试桥（ADB）连接的Android设备。

德罗沃鲁布

联邦调查局和****局在8月份的一次警告中强调了这个rootkit。它可以避开管理员和反病毒软件，运行root命令，并允许黑客上传和下载文件。根据这两个机构的说法，Drovorub是为俄罗斯**工作的黑客组织Fancy Bear的作品。

这种感染很难被发现，但升级到至少3.7内核并阻止不受信任的内核模块应该有助于避免它。

路西法

Lucifer恶意加密挖掘和分布式拒绝服务机器人首次出现在6月份的Windows和8月份的Linux上。Lucifer的Linux版本允许基于HTTP的DDoS攻击以及通过TCP、UCP和ICMP的攻击。

潘昆x64

今年5月，研究人员发现了Turla Penquin系列恶意软件的新变种。它是一个后门，允许攻击者拦截网络流量和运行命令，而不获取根。

卡巴斯基7月份在美国和欧洲的数十台服务器上发现了这个漏洞。

多基

Doki是一个后门工具，主要针对安装加密矿工的Docker服务器设置不完善。

虽然恶意软件通常会联系预定的IP地址或URL来接收指令，但Doki的创建者已经建立了一个动态系统，使用Dogecoin加密区块链API。这使得很难关闭命令基础设施，因为恶意软件操作员只需一个Dogecoin事务就可以更改控制服务器。

为了避免Doki，您应该确保Docker管理界面配置正确。

编织物

TrickBot是一种银行特洛伊木马，用于勒索软件攻击和身份盗窃，这也使得它从Windows转向Linux。TrickBot背后的小组使用的工具之一Anchor\u DNS在7月份的一个Linux变体中出现。

Linux充当后门，通常通过zip文件传播。恶意软件设置cron任务并通过DNS查询与控制服务器联系。

相关：如何发现钓鱼电子邮件

大亨

Tycoon特洛伊木马通常作为zip存档中的受损Java运行时环境传播。研究人员在6月份发现，它可以在中小企业和教育机构的Windows和Linux系统上运行。它加密文件并要求支付赎金。

云窥探者

这个rootkit劫持Netfilter，在正常的web流量中隐藏命令和数据窃取，以绕过防火墙。

该系统于今年2月在亚马逊网络服务云上首次被发现，它可以用来控制防火墙后面任何服务器上的恶意软件。

幻影

同样在2月份，Trend Micro的研究人员发现PowerGhost实现了从Windows到Linux的飞跃。这是一个无文件加密货币矿工，可以减缓您的系统和降低硬件通过增加磨损。

Linux版本可以卸载或杀死反恶意软件产品，并使用cron任务保持活动状态。它可以安装其他恶意软件，获得根访问权限，并使用SSH通过网络传播。

弗里茨夫罗格

自从这种点对点（P2P）僵尸网络在2020年1月首次被发现以来，又发现了20个版本。受害者包括**、大学、医疗中心和银行。

Fritzfrog是一种无文件恶意软件，这种威胁存在于RAM中而不是硬盘上，并利用现有软件中的漏洞进行攻击。它不使用服务器，而是使用P2P发送加密的SSH通信来协调跨不同机器的攻击，更新自身，并确保工作在整个网络中均匀分布。

尽管fritzprog是无文件的，但它确实使用公共SSH密钥创建了一个后门，以允许将来进行访问。然后通过网络保存受损机器的登录信息。

强密码和公钥身份验证提供了针对这种攻击的保护。如果不使用SSH端口，则更改SSH端口或关闭SSH访问也是一个好主意。

finspy公司

FinFisher**FinSpy，与监视记者和活动人士有关，作为**现成的监视解决方案。此前在Windows和Android上看到的，****组织在2019年11月发现了一个Linux版本的恶意软件。

FinSpy允许窃听流量、访问私人数据以及录制来自受感染设备的视频和音频。

2011年，穆巴拉克总统被推翻后，**者在残暴的埃及安全局办公室发现了一份购买FinSpy的合同，公众意识到了这一点。

linux用户是时候开始认真对待安全问题了吗？

虽然Linux用户可能不像Windows用户那样容易受到安全威胁，但毫无疑问，Linux系统所拥有的数据的价值和数量使该平台对网络犯罪分子更有吸引力。

如果联邦调查局和****局对此感到担忧的话，那么自营商或经营Linux的小企业现在应该开始更多地关注安全问题，如果他们想避免在未来对大型组织的攻击中成为附带损害的话。

以下是我们为保护自己免受日益增多的Linux恶意软件攻击而提出的建议：

• 不要运行来自未知源的二进制文件或脚本。
• 安装安全软件，如防病毒程序和rootkit检测器。
• 使用curl等命令安装程序时要小心。在完全理解命令的作用之前不要运行它，从这里开始研究命令行。
• 了解如何正确设置防火墙。它应该记录所有的网络活动，阻止未使用的端口，并且通常将您暴露在网络中的情况降到最低限度。
• 定期更新系统；将安全更新设置为自动安装。
• 确保您的更新是通过加密连接发送的。
• 为SSH和密码启用基于密钥的身份验证系统以保护密钥。
• 使用双因素身份验证（2FA）并将密钥保存在诸如Yubikey之类的外部设备上。
• 检查日志以寻找攻击的证据。