數(shù)千臺Linux主機(jī)被勒索該如何防御

本篇文章為大家展示了數(shù)千臺Linux主機(jī)被勒索該如何防御，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

國外安全媒體先后報道了一款名為Lilocked的Linux勒索病毒，該勒索病毒目前為止已感染了6000+臺Linux主機(jī)，加密后綴為.lilocked。俄國的安全研究員認(rèn)為，Lilocked很有可能是通過Exim郵件轉(zhuǎn)發(fā)軟件的最新遠(yuǎn)程執(zhí)行漏洞CVE-2019-15846進(jìn)行傳播的。

其實(shí)，這個勒索病毒從今年7月中旬就已經(jīng)出現(xiàn)了，只不過當(dāng)時“表現(xiàn)平平”，并沒有引起大眾的關(guān)注，但是在近期感染量突增，有爆發(fā)感染的趨勢。

使用Google搜索"#README.lilocked"關(guān)鍵字，可以關(guān)聯(lián)到約6340個結(jié)果，也就是說，公網(wǎng)上已知的Linux主機(jī)，有近6340個主機(jī)被該病毒勒索了，然而事實(shí)上被勒索的Linux主機(jī)肯定遠(yuǎn)超這個數(shù)字，因?yàn)檫€有很多些未聯(lián)網(wǎng)或未被搜索引擎關(guān)聯(lián)到的主機(jī)。

使用zoomeye偵測這些主機(jī)的端口，發(fā)現(xiàn)大部分都開啟郵件的服務(wù)，以此推斷俄羅斯研究員關(guān)于Exim漏洞的說法還是有依據(jù)的。

勒索Tor地址為：y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion，跟Sodinokibi相似，需要輸入key才能跳轉(zhuǎn)到相應(yīng)的勒索聯(lián)系界面，黑客提示想要解密文件，必須發(fā)送0.03個BTC到錢包地址1KxvqPWMVpCzjx7TevBY3XbMeFNj85Keef。

那么，Linux下的勒索病毒跟Windows平臺的勒索病毒有什么不同？該如何進(jìn)行防御呢？其實(shí)，無論在什么平臺，勒索病毒的工作原理都是相似的：

殺軟檢測 -> 特定語言國家免疫 -> 生成加密密鑰 -> 遍歷除系統(tǒng)文件路徑以外的目錄 -> 加密特定后綴的文件 -> 刪除備份文件 -> 退出。

但Linux勒索病毒一般會比Windows勒索病毒多一個步驟，就是在開始前會利用漏洞進(jìn)行提權(quán)，包括這次的Lilocked勒索病毒，也使用了未公開的漏洞將自身提升為root權(quán)限后再進(jìn)行加密操作。下面就使用開源的Linux勒索病毒GonnaCry演示下，有無root權(quán)限情況下的運(yùn)行情況。GonnaCry的功能比較簡單，使用AES算法加密文件內(nèi)容，然后修改主機(jī)桌面。

在普通用戶權(quán)限下，GonnaCry幾乎無法完成加密操作，只能加密幾個臨時文件。

而當(dāng)以root權(quán)限運(yùn)行時，GonnaCry成功加密，主目錄下的doc文件都被加密成了GNNCRY后綴的文件?？梢姡琇inux勒索病毒在有無root權(quán)限下運(yùn)行，結(jié)果是截然不同的。

由于Linux操作系統(tǒng)的權(quán)限管控是很嚴(yán)格的，除非是在同一個用戶組里的用戶，不然是無法操作其他用戶的文件的，比如：若一個勒索病毒是通過redis漏洞進(jìn)來的，那么它的所擁有者就是redis賬號（假設(shè)使用redis用戶啟動的應(yīng)用），它將無法讀寫root、user1、user2等其他用戶的文件，這就是為什么Linux惡意軟件都想方設(shè)法進(jìn)行提權(quán)的原因。

MSF上面有許多Linux提權(quán)漏洞的EXP，勒索病毒只需集成相關(guān)的核心代碼即可實(shí)現(xiàn)提權(quán)，提升到root權(quán)限之后，就能夠讀寫操作任意文件了。當(dāng)然，若你的root密碼是弱密碼，勒索病毒也不用通過漏洞提權(quán)那么麻煩了，直接爆破密碼以root權(quán)限運(yùn)行。

其實(shí)對于上述情況，Linux系統(tǒng)還是做出了相應(yīng)的對策的，那就是SELinux和AppArmor。這兩者的主要作用就是采用MAC的策略，最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源（最小權(quán)限原則），即使是root用戶也無法隨意操作文件。網(wǎng)上也有相關(guān)的使用教程，若規(guī)則編寫得當(dāng)?shù)脑挘脕矸烙账餍袨檫€是挺有效的。

最后，總結(jié)一下Linux平臺下防御勒索病毒的幾點(diǎn)使用建議：

1. 盡量不要使用root權(quán)限運(yùn)行Web應(yīng)用程序。

2. 及時打上重要的補(bǔ)丁，防止應(yīng)用程序被漏洞利用入侵。

3. root賬號增強(qiáng)密碼復(fù)雜性，避免被爆破。

4. 開啟SELinux、AppArmor等功能保護(hù)重要文件。

5. 部署終端安全軟件進(jìn)行防護(hù)。

上述內(nèi)容就是數(shù)千臺Linux主機(jī)被勒索該如何防御，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。