它在安全方面的聲譽意味著Linux通常被認為不易受到經常困擾微軟Windows系統的各種威脅的攻擊。這種安全感大部分來自於數量相對較少的Linux系統，但網路犯罪分子是否開始看到選擇質量而不是數量的價值？

linux威脅形勢正在發生變化

卡巴斯基（Kaspersky）和黑莓（Blackberry）等公司的安全研究人員，以及聯邦調查局（FBI）和美國****局（NSA）等聯邦機構警告說，惡意軟體的作者正在加大對Linux的關注。

作業系統現在被公認為是獲取商業祕密、智慧財產權和人事資訊等有價值資料的門戶。Linux伺服器也可以作為一箇中轉站，用於感染更廣泛的網路，其中充斥著Windows、macOS和Android裝置。

即使不是執行在你的桌上型電腦或膝上型電腦上的作業系統，你的資料遲早會暴露在Linux下。您的雲端儲存、VPN和電子郵件提供商，以及您的僱主、醫療保險公司、**服務機構或大學，幾乎可以肯定地將Linux作為其網路的一部分來執行，而且您現在或將來都有可能擁有或將擁有一臺支援Linux的物聯網（IoT）裝置。

在過去12個月中，已經發現了多個威脅。一些是已知的移植到Linux的Windows惡意軟體，而另一些則在伺服器上潛伏了近10年未被發現，這表明安全團隊低估了風險的程度。

許多系統管理員可能認為他們的組織不夠重要，不足以成為目標。然而，即使你的網路不是一個大的獎品，你的供應商或客戶可能會被證明更具誘惑力，透過網路釣魚攻擊訪問你的系統，例如，可能是滲透他們的第一步。因此，評估如何保護您的系統是值得的。

2020年發現linux惡意軟體

下面是我們對去年發現的威脅的總結。

ransomexx特洛伊木馬程式

卡巴斯基的研究人員在11月透露，這個特洛伊木馬已經作為可執行檔案移植到Linux。受害者留下了用256位AES密碼加密的檔案，以及關於聯絡惡意軟體作者以恢復其資料的說明。

Windows版本在2020年攻擊了一些重要目標，包括Konica Minolta、德克薩斯州交通部和巴西**系統。

RansomEXX是專門為每個受害者定製的，加密副檔名和贖金通知單上的電子郵件地址都包含了組織的名稱。

吉特膏-12

gitplaste-12是一種新的蠕蟲病毒，它會感染執行Linux的x86伺服器和物聯網裝置。它的名字來源於它使用GitHub和Pastebin下載程式碼，以及它的12種攻擊方法。

該蠕蟲可以禁用AppArmor、SELinux、防火牆和其他防禦，以及安裝加密貨幣礦工。

伊普斯托姆

自2019年5月在Windows上出現以來，這種能夠攻擊Linux的殭屍網路的新版本在9月被發現。它解除了Linux記憶體不足的**鐗以保持自身的執行，並殺死了可能阻止它工作的安全程序。

Linux版本還提供了額外的功能，比如使用SSH查詢目標、利用Steam遊戲服務、抓取****來欺騙廣告點選。

它還喜歡感染透過Android除錯橋（ADB）連線的Android裝置。

德羅沃魯布

聯邦調查局和****局在8月份的一次警告中強調了這個rootkit。它可以避開管理員和反病毒軟體，執行root命令，並允許駭客上傳和下載檔案。根據這兩個機構的說法，Drovorub是為俄羅斯**工作的駭客組織Fancy Bear的作品。

這種感染很難被發現，但升級到至少3.7核心並阻止不受信任的核心模組應該有助於避免它。

路西法

Lucifer惡意加密挖掘和分散式拒絕服務機器人首次出現在6月份的Windows和8月份的Linux上。Lucifer的Linux版本允許基於HTTP的DDoS攻擊以及透過TCP、UCP和ICMP的攻擊。

潘昆x64

今年5月，研究人員發現了Turla Penquin系列惡意軟體的新變種。它是一個後門，允許攻擊者攔截網路流量和執行命令，而不獲取根。

卡巴斯基7月份在美國和歐洲的數十臺伺服器上發現了這個漏洞。

多基

Doki是一個後門工具，主要針對安裝加密礦工的Docker伺服器設定不完善。

雖然惡意軟體通常會聯絡預定的IP地址或URL來接收指令，但Doki的建立者已經建立了一個動態系統，使用Dogecoin加密區塊鏈API。這使得很難關閉命令基礎設施，因為惡意軟體操作員只需一個Dogecoin事務就可以更改控制伺服器。

為了避免Doki，您應該確保Docker管理介面配置正確。

編織物

TrickBot是一種銀行特洛伊木馬，用於勒索軟體攻擊和身份盜竊，這也使得它從Windows轉向Linux。TrickBot背後的小組使用的工具之一Anchor\u DNS在7月份的一個Linux變體中出現。

Linux充當後門，通常透過zip檔案傳播。惡意軟體設定cron任務並透過DNS查詢與控制伺服器聯絡。

相關：如何發現釣魚電子郵件

大亨

Tycoon特洛伊木馬通常作為zip存檔中的受損Java執行時環境傳播。研究人員在6月份發現，它可以在中小企業和教育機構的Windows和Linux系統上執行。它加密檔案並要求支付贖金。

雲窺探者

這個rootkit劫持Netfilter，在正常的web流量中隱藏命令和資料竊取，以繞過防火牆。

該系統於今年2月在亞馬遜網路服務雲上首次被發現，它可以用來控制防火牆後面任何伺服器上的惡意軟體。

幻影

同樣在2月份，Trend Micro的研究人員發現PowerGhost實現了從Windows到Linux的飛躍。這是一個無檔案加密貨幣礦工，可以減緩您的系統和降低硬體透過增加磨損。

Linux版本可以解除安裝或殺死反惡意軟體產品，並使用cron任務保持活動狀態。它可以安裝其他惡意軟體，獲得根訪問許可權，並使用SSH透過網路傳播。

弗裡茨夫羅格

自從這種點對點（P2P）殭屍網路在2020年1月首次被發現以來，又發現了20個版本。受害者包括**、大學、醫療中心和銀行。

Fritzfrog是一種無檔案惡意軟體，這種威脅存在於RAM中而不是硬碟上，並利用現有軟體中的漏洞進行攻擊。它不使用伺服器，而是使用P2P傳送加密的SSH通訊來協調跨不同機器的攻擊，更新自身，並確保工作在整個網路中均勻分佈。

儘管fritzprog是無檔案的，但它確實使用公共SSH金鑰建立了一個後門，以允許將來進行訪問。然後透過網路儲存受損機器的登入資訊。

強密碼和公鑰身份驗證提供了針對這種攻擊的保護。如果不使用SSH埠，則更改SSH埠或關閉SSH訪問也是一個好主意。

finspy公司

FinFisher**FinSpy，與監視記者和活動人士有關，作為**現成的監視解決方案。此前在Windows和Android上看到的，****組織在2019年11月發現了一個Linux版本的惡意軟體。

FinSpy允許竊聽流量、訪問私人資料以及錄製來自受感染裝置的影片和音訊。

2011年，穆巴拉克總統被推翻後，**者在殘暴的埃及安全域性辦公室發現了一份購買FinSpy的合同，公眾意識到了這一點。

linux使用者是時候開始認真對待安全問題了嗎？

雖然Linux使用者可能不像Windows使用者那樣容易受到安全威脅，但毫無疑問，Linux系統所擁有的資料的價值和數量使該平臺對網路犯罪分子更有吸引力。

如果聯邦調查局和****局對此感到擔憂的話，那麼自營商或經營Linux的小企業現在應該開始更多地關注安全問題，如果他們想避免在未來對大型組織的攻擊中成為附帶損害的話。

以下是我們為保護自己免受日益增多的Linux惡意軟體攻擊而提出的建議：

• 不要執行來自未知源的二進位制檔案或指令碼。
• 安裝安全軟體，如防病毒程式和rootkit檢測器。
• 使用curl等命令安裝程式時要小心。在完全理解命令的作用之前不要執行它，從這裡開始研究命令列。
• 瞭解如何正確設定防火牆。它應該記錄所有的網路活動，阻止未使用的埠，並且通常將您暴露在網路中的情況降到最低限度。
• 定期更新系統；將安全更新設定為自動安裝。
• 確保您的更新是透過加密連線傳送的。
• 為SSH和密碼啟用基於金鑰的身份驗證系統以保護金鑰。
• 使用雙因素身份驗證（2FA）並將金鑰儲存在諸如Yubikey之類的外部裝置上。
• 檢查日誌以尋找攻擊的證據。