Linux系統(tǒng)在互聯(lián)網(wǎng)中面臨的安全威脅的示例分析

本篇文章給大家分享的是有關(guān)Linux系統(tǒng)在互聯(lián)網(wǎng)中面臨的安全威脅的示例分析，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

一、概述

Linux系統(tǒng)作為主流5大操作系統(tǒng)之一，目前在服務(wù)器市場(chǎng)占有率超過(guò)80%。隨著云計(jì)算與IoT的發(fā)展，Linux作為物聯(lián)網(wǎng)領(lǐng)域的主流底層操作系統(tǒng)，所涉及的應(yīng)用場(chǎng)景將呈幾何級(jí)增加。

安恒信息安全數(shù)據(jù)大腦團(tuán)隊(duì)通過(guò)長(zhǎng)期監(jiān)控全球互聯(lián)網(wǎng)的各類(lèi)服務(wù)端口發(fā)現(xiàn)：全球已有超過(guò)5000萬(wàn)的Linux主機(jī)暴露SSH端口，其中美國(guó)與中國(guó)的暴露數(shù)量最多，而這些服務(wù)器將會(huì)面臨嚴(yán)峻的網(wǎng)絡(luò)攻擊，如端口掃描、口令爆破、漏洞掃描等。據(jù)觀測(cè)，全網(wǎng)每天有大量的掃描流量對(duì)系統(tǒng)的SSH或數(shù)據(jù)庫(kù)類(lèi)端口進(jìn)行探測(cè)，一旦探測(cè)成功則進(jìn)行爆破，獲取主機(jī)權(quán)限。被攻陷的Linux主機(jī)通常被用于挖礦和DDoS攻擊，以及通過(guò)內(nèi)網(wǎng)蠕蟲(chóng)擴(kuò)散捕獲更多“肉雞”。這一現(xiàn)象將嚴(yán)重影響了網(wǎng)絡(luò)空間安全，建議在后續(xù)的網(wǎng)絡(luò)安全感知與治理過(guò)程中，加強(qiáng)對(duì)此類(lèi)系統(tǒng)的安全規(guī)范化管控，對(duì)僵尸主機(jī)進(jìn)行及時(shí)清理。

要點(diǎn)：

1.全網(wǎng)超過(guò)5000萬(wàn)Linux系統(tǒng)主機(jī)暴露SSH端口，遭受?chē)?yán)峻的端口掃描與爆破威脅；

2.系統(tǒng)遠(yuǎn)程管理類(lèi)端口與數(shù)據(jù)庫(kù)類(lèi)端口為黑客頻繁攻擊目標(biāo)；

3.弱口令和專(zhuān)有設(shè)備默認(rèn)口令（如cisco、Pi、db2as）等仍是黑客攻擊首選 ；

4.針對(duì)Linux系統(tǒng)的攻擊源主要集中在歐州、中美韓等國(guó)，攻擊系統(tǒng)多為L(zhǎng)inux主機(jī)；

5.Linux主機(jī)失陷后，多被應(yīng)用于挖礦、發(fā)起DDoS攻擊以及內(nèi)網(wǎng)蠕蟲(chóng)擴(kuò)散捕獲肉雞，最常見(jiàn)的木馬有蓋茨木馬、樹(shù)莓派等。

二、Linux系統(tǒng)面臨的嚴(yán)峻安全風(fēng)險(xiǎn)與影響

2.1 全網(wǎng)暴露的Linux系統(tǒng)服務(wù)器數(shù)量巨大

一直以來(lái)，Linux操作系統(tǒng)有著廣泛的應(yīng)用領(lǐng)域：

1.作為企業(yè)級(jí)服務(wù)器應(yīng)用

其可以作為企業(yè)架構(gòu)www服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、負(fù)載均衡服務(wù)器、DNS服務(wù)器。在使企業(yè)降低運(yùn)營(yíng)成本的同時(shí)，還能保證系統(tǒng)的高穩(wěn)定性和高可靠性；

2.作為嵌入式Linux系統(tǒng)應(yīng)用系統(tǒng)

從因特網(wǎng)設(shè)備（路由器、交換機(jī)、防火墻、負(fù)載均衡器）到專(zhuān)用的控制系統(tǒng)（自動(dòng)售貨機(jī)、手機(jī)、PDA、各種家用電器），Linux系統(tǒng)都有廣闊的應(yīng)用市場(chǎng)。近幾年，Linux操作系統(tǒng)已成功躋身于主流嵌入式開(kāi)發(fā)平臺(tái)，滲透到電信、金融、教育等各個(gè)行業(yè)。各大硬件廠商、大型/超大型互聯(lián)網(wǎng)企業(yè)都在使用Linux系統(tǒng)作為其服務(wù)器端的程序運(yùn)行平臺(tái)。

今年8月，安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)使用Sumap平臺(tái)，在互聯(lián)網(wǎng)中探測(cè)到大量開(kāi)放了SSH端口的設(shè)備，探測(cè)發(fā)現(xiàn)全球共有51,689,792個(gè)端口暴露，其中中國(guó)有11,964,730個(gè)。

其SSH端口暴露的地域分布TOP10如下：

排名前三的SSH端口暴露的地域及數(shù)量分別是：

美國(guó) 14,448,205個(gè)；中國(guó)11,964,730個(gè)；德國(guó)2,710,689個(gè)。

美國(guó)和中國(guó)的開(kāi)放SSH端口數(shù)量最多，遙遙領(lǐng)先其他國(guó)家，大量開(kāi)放的SSH端口將Linux系統(tǒng)暴露在互聯(lián)網(wǎng)上，大大增加系統(tǒng)面臨的風(fēng)險(xiǎn)。

2.2 系統(tǒng)大多遭受高頻持續(xù)性攻擊

安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)分析了大量Linux系統(tǒng)遭受攻擊的情況后發(fā)現(xiàn)：端口暴露的單個(gè)Linux系統(tǒng)，平均遭受超過(guò)40,000次/天的網(wǎng)絡(luò)攻擊，黑客大多采取高頻持續(xù)性攻擊方式，攻擊頻率平均約5次/秒。

跟蹤Linux系統(tǒng)被入侵情況發(fā)現(xiàn)：某弱口令Linux系統(tǒng)每月有約17,000次被入侵成功，在入侵成功之后通常會(huì)進(jìn)行查看主機(jī)信息、關(guān)閉防火墻、文件下載等操作行為，進(jìn)而實(shí)現(xiàn)與遠(yuǎn)端C2主機(jī)的回連控制，在后續(xù)進(jìn)行挖礦或DDoS攻擊等。

2.3 主流攻擊行為概覽

2.3.1 遠(yuǎn)程控制與數(shù)據(jù)庫(kù)端口遭受集中掃描

對(duì)Linux系統(tǒng)進(jìn)行端口掃描是攻擊者最常用的一種方式，通過(guò)掃描可發(fā)現(xiàn)是否存在漏洞或是否開(kāi)放了某些端口的服務(wù)器，并使用漏洞或者爆破的手段攻擊服務(wù)器。

不同國(guó)家對(duì)端口掃描的目標(biāo)會(huì)有很大的區(qū)別，以下是對(duì)不同國(guó)家端口掃描的分析情況:

*說(shuō)明：2222、2223端口常被用于系統(tǒng)遠(yuǎn)程管理；3306端口被用于MYSQL；80和443端口為web服務(wù)器的常用端口；25端口為SMTP端口。

總體來(lái)講，入侵的端口集中在遠(yuǎn)程訪問(wèn)與數(shù)據(jù)庫(kù)端口，可見(jiàn)大部分主流黑客的掃描探測(cè)傾向簡(jiǎn)單粗暴。對(duì)系統(tǒng)運(yùn)維人員而言，日常嚴(yán)格的端口管理就能規(guī)避風(fēng)險(xiǎn)，但根據(jù)端口暴露數(shù)據(jù)顯示，某些運(yùn)維人員在安全管理層面意識(shí)淡漠，給黑客留下可乘之機(jī)。

2.3.2 弱口令與專(zhuān)有設(shè)備默認(rèn)口令爆破問(wèn)題嚴(yán)峻

暴力破解是最常用且操作簡(jiǎn)單的方式，安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)監(jiān)測(cè)到對(duì)Linux系統(tǒng)常用的暴力破解所涉及的用戶(hù)名和密碼情況分布如下：

從用戶(hù)名上看：root、admin、shell、enable、default這類(lèi)經(jīng)典弱口令，仍然占據(jù)主流。

從密碼上看：system、user、1234、sh等默認(rèn)口令與簡(jiǎn)單密碼序列是黑客最常用的爆破密碼。

除弱口令這種被黑客慣用的爆破方式外，專(zhuān)有設(shè)備默認(rèn)口令爆破也是黑客常用的攻擊方式。如下是常用專(zhuān)有設(shè)備默認(rèn)口令賬戶(hù)：

對(duì)比上圖2-4（常見(jiàn)爆破用戶(hù)名情況）可發(fā)現(xiàn)，存在大量專(zhuān)有設(shè)備默認(rèn)口令賬戶(hù)爆破。

綜上，弱口令爆破是黑客最?lèi)?ài)用的攻擊方式之一，這樣的攻擊方式低成本且易成功率極高。所以對(duì)我們而言不要貪圖“一時(shí)爽”，將密碼和用戶(hù)名設(shè)置的盡量復(fù)雜，同時(shí)間隔一段時(shí)間（如：30天）對(duì)密碼進(jìn)行修改。企業(yè)用戶(hù)因數(shù)據(jù)具有更大的價(jià)值，更應(yīng)該加強(qiáng)員工管理密碼的意識(shí)。而對(duì)專(zhuān)有設(shè)備、物聯(lián)網(wǎng)設(shè)施的探測(cè)已經(jīng)蔚然成風(fēng)，對(duì)這些非服務(wù)器類(lèi)設(shè)備的安全管理迫在眉睫。

2.4 攻擊源區(qū)域特性

針對(duì)Linux系統(tǒng)的掃描探測(cè)攻擊源從區(qū)域角度來(lái)看，歐洲、中國(guó)、美國(guó)以及韓國(guó)攻擊源最為集中。以下為攻擊源各國(guó)分布情況:

我們對(duì)攻擊者所使用的系統(tǒng)進(jìn)行追蹤分析，下圖是攻擊者系統(tǒng)分布：

檢測(cè)發(fā)現(xiàn)在已知的操作系統(tǒng)中有超過(guò)60%的攻擊系統(tǒng)為L(zhǎng)inux，這其中不乏已被攻陷的僵尸主機(jī)被利用。

三、挖礦與DDoS攻擊為其主要目的

安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)通過(guò)長(zhǎng)期跟蹤觀測(cè)互聯(lián)網(wǎng)中攻擊流量的數(shù)據(jù)，分析發(fā)現(xiàn)目前針對(duì)Linux主機(jī)的攻擊目的，主要集中在捕獲肉雞進(jìn)行挖礦與DDoS攻擊上，本次選取其中較為典型的兩款木馬簡(jiǎn)要分析：蓋茨木馬、樹(shù)莓派木馬。

3.1 蓋茨木馬分析

3.1.1概述

Billgates木馬攻擊是Linux系統(tǒng)中主流的木馬攻擊類(lèi)型，主要用于DDoS攻擊或挖礦。以下對(duì)Billgates中近期出現(xiàn)的攻擊情況進(jìn)行分析。

2018年7月30日安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)在某蜜罐平臺(tái)中，捕獲了一種DDoS木馬。其來(lái)源IP為61.178.179.93，通過(guò)對(duì)SSH爆破，進(jìn)入蜜罐偽裝的文件系統(tǒng)，并下載一個(gè)能使機(jī)器變?yōu)楣粽呷怆u的木馬文件，從而可發(fā)起DDoS攻擊。

其木馬文件的情況如下：

分析可見(jiàn)，攻擊者一共下載了三次，成功了一次。

3.1.2 入侵過(guò)程

黑客首先對(duì)開(kāi)放的SSH服務(wù)，通常是登錄22端口進(jìn)行爆破，爆破后進(jìn)入蜜罐偽裝的文件系統(tǒng)，進(jìn)入系統(tǒng)后，該攻擊者首先關(guān)閉了防火墻，然后從源IP 61.178.179.93的45454端口獲取木馬，并且反復(fù)啟動(dòng)該木馬程序。

該木馬下載路徑如下：http://61.178.179.93:45454/Hoogp，目前該路徑可以訪問(wèn)與下載：

該木馬下載IP 61.178.179.93來(lái)自中國(guó)甘肅，曾發(fā)起過(guò)網(wǎng)絡(luò)攻擊行為，并被安恒威脅情報(bào)中心標(biāo)記為惡意軟件站點(diǎn)。

通過(guò)對(duì)Hoogp樣本分析發(fā)現(xiàn)其為一個(gè)惡意文件，同時(shí)多款殺毒軟件也檢測(cè)出其為后門(mén)和DDoS。

3.1.3 通信行為

我們進(jìn)一步對(duì)文件的通信行為進(jìn)行分析，發(fā)現(xiàn)其關(guān)聯(lián)的域名是:xunyi-gov.cn和DDoS.xunyi-gov.cn，其域名xunyi-gov.cn已被標(biāo)記為 BillGates 僵尸網(wǎng)絡(luò)。

網(wǎng)站下存在5個(gè)子域名，分別為：blog.xunyi-gov.cn；hack.xunyi-gov.cn；www.xunyi-gov.cn；DDoS.xunyi-gov.cn；s.xunyi-gov.cn。其子域名大多被標(biāo)記為遠(yuǎn)控或惡意軟件。

對(duì)另一個(gè)關(guān)聯(lián)域名進(jìn)行反查：DDoS.xunyi-gov.cn，發(fā)現(xiàn)仍然被標(biāo)記為惡意軟件通信相關(guān)：

另外根據(jù)關(guān)聯(lián)關(guān)系分析結(jié)果如下，發(fā)現(xiàn)該組織對(duì)批量的惡意域名通信控制，捕獲大量主機(jī)，推測(cè)其為一定規(guī)模的黑客組織行為。

3.2 樹(shù)莓派(Raspberry)木馬分析

3.2.1 概述

樹(shù)莓派是在2017年推出的一款單片機(jī)計(jì)算機(jī)，一款只有信用卡大小且系統(tǒng)底層基于Linux的微型電腦。

2018年7月31日，安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)在某蜜罐系統(tǒng)發(fā)現(xiàn)攻擊者留下的針對(duì)樹(shù)莓派系統(tǒng)進(jìn)行入侵與挖礦的惡意文件，通過(guò)分析日志發(fā)現(xiàn)，攻擊IP為121.153.206.110，位于韓國(guó)。

3.2.2 入侵過(guò)程

該攻擊者于2018-7-31 14:17:37，通過(guò)樹(shù)莓派默認(rèn)賬號(hào)pi和弱口令，登入了蜜罐。

通過(guò)進(jìn)一步查看攻擊者執(zhí)行的指令可以發(fā)現(xiàn)，其通過(guò) scp指令獲取了一個(gè)名為”E7wWc5ku”的文件，并將其保存在/tmp 下。隨后進(jìn)入 tmp目錄賦予該文件可執(zhí)行權(quán)限，調(diào)用 bash腳本執(zhí)行這個(gè)文件。

3.2.3 行為分析

我們隨后對(duì)該Shell腳本的完整內(nèi)容獲取并進(jìn)行了分析，該腳本在殺死一堆其他的挖礦進(jìn)程以及占用系統(tǒng)資源的進(jìn)程后，將進(jìn)行挖礦。

殺死一堆其他挖礦程序與進(jìn)程：

隨后將一個(gè)可疑地址加入到/etc/hosts，將本地地址解析到bins.deutschland-zahlung.eu。接著刪除shell設(shè)置的環(huán)境變量，并且改掉pi用戶(hù)的密碼信息，ssh生成公鑰寫(xiě)入ssh配置文件。指定DNS，寫(xiě)入了一個(gè)可疑的EOF MARKER文件，其中有一串可疑的域名，分析認(rèn)為是IRC服務(wù)器；

接著在后臺(tái)掛起了這個(gè)EOF MARKER文件，并下載了zmap 和sshpass，利用 zmap 進(jìn)行內(nèi)網(wǎng)探測(cè)，繼續(xù)利用當(dāng)前機(jī)器，以”pi:praspberry”和”pi:praspberryaspberry993311”這樣的口令去掃描IP 列表下的其他機(jī)器，一旦攻入則通過(guò)scp上傳攻擊腳本。

四、安全治理刻不容緩

通過(guò)本文分析的當(dāng)前Linux系統(tǒng)面臨的主流威脅情況，為后續(xù)對(duì)系統(tǒng)的規(guī)范化管理與治理提供了可靠的依據(jù)。

4.1 日常安全運(yùn)維規(guī)范

從當(dāng)前互聯(lián)網(wǎng)中系統(tǒng)遠(yuǎn)程服務(wù)或數(shù)據(jù)庫(kù)端口暴露，被爆破情況嚴(yán)重的情況分析來(lái)看，服務(wù)器的系統(tǒng)端口需加強(qiáng)規(guī)范化管理。在日常運(yùn)維中，需要避免不必要的應(yīng)用端口對(duì)外開(kāi)放，尤其是遠(yuǎn)程服務(wù)端口、數(shù)據(jù)庫(kù)應(yīng)用等極易被探測(cè)爆破的類(lèi)型，如必須開(kāi)放則做好網(wǎng)絡(luò)訪問(wèn)控制，也可免遭非法地址發(fā)起的攻擊行為。規(guī)范化管理端口的操作簡(jiǎn)易，但是卻收效顯著。

4.2 物聯(lián)網(wǎng)終端設(shè)備的安全規(guī)范

大量物聯(lián)網(wǎng)設(shè)備的底層系統(tǒng)采用了Linux，相比于傳統(tǒng)的服務(wù)器運(yùn)維管理，由于發(fā)展時(shí)間短，管理機(jī)制不夠成熟，這類(lèi)系統(tǒng)的安全十分薄弱，管理配置混亂，尤其是以默認(rèn)賬號(hào)密碼問(wèn)題尤為突出，無(wú)論是過(guò)去爆發(fā)的攝像頭黑天鵝事件，還是物聯(lián)網(wǎng)終端設(shè)備發(fā)起的DDoS攻擊導(dǎo)致美國(guó)斷網(wǎng)事件，都充分暴露了系統(tǒng)安全開(kāi)發(fā)、配置、管理的不規(guī)范，因此對(duì)物聯(lián)網(wǎng)終端的設(shè)備安全規(guī)范管理規(guī)范亟需推進(jìn)，強(qiáng)制檢測(cè)產(chǎn)品的安全規(guī)范。

4.3 僵尸主機(jī)的感知與治理

目前網(wǎng)絡(luò)中已經(jīng)存在了大量的僵尸主機(jī)，由于缺乏對(duì)網(wǎng)絡(luò)中存在僵尸主機(jī)的檢測(cè)機(jī)制，企業(yè)網(wǎng)絡(luò)、IDC機(jī)房、各類(lèi)公/私有云，都面臨著主機(jī)長(zhǎng)期被控失陷而不自知的問(wèn)題，這一現(xiàn)象又縱容了黑客肆意捕獲肉雞，進(jìn)行DDoS、挖礦、內(nèi)網(wǎng)滲透等行為。因此，采用新型的僵尸主機(jī)檢測(cè)方式，探測(cè)網(wǎng)絡(luò)內(nèi)是否存在系統(tǒng)失陷的安全問(wèn)題成為當(dāng)下最需要解決的問(wèn)題。

威脅情報(bào)通過(guò)對(duì)互聯(lián)網(wǎng)中的流量數(shù)據(jù)的捕獲與國(guó)內(nèi)外共享情報(bào)的分析，可廣泛識(shí)別網(wǎng)絡(luò)中的僵尸主機(jī)，提取出被惡意主機(jī)控制的失陷主機(jī)地址，可有效協(xié)助區(qū)域監(jiān)管單位或組織機(jī)構(gòu)發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中是否有被控僵尸主機(jī)，開(kāi)展清理工作，防止持續(xù)被控造成不可估量的損失。

以上就是Linux系統(tǒng)在互聯(lián)網(wǎng)中面臨的安全威脅的示例分析，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。