您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關(guān)Linux系統(tǒng)在互聯(lián)網(wǎng)中面臨的安全威脅的示例分析,小編覺(jué)得挺實(shí)用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說(shuō),跟著小編一起來(lái)看看吧。
Linux系統(tǒng)作為主流5大操作系統(tǒng)之一,目前在服務(wù)器市場(chǎng)占有率超過(guò)80%。隨著云計(jì)算與IoT的發(fā)展,Linux作為物聯(lián)網(wǎng)領(lǐng)域的主流底層操作系統(tǒng),所涉及的應(yīng)用場(chǎng)景將呈幾何級(jí)增加。
安恒信息安全數(shù)據(jù)大腦團(tuán)隊(duì)通過(guò)長(zhǎng)期監(jiān)控全球互聯(lián)網(wǎng)的各類(lèi)服務(wù)端口發(fā)現(xiàn):全球已有超過(guò)5000萬(wàn)的Linux主機(jī)暴露SSH端口,其中美國(guó)與中國(guó)的暴露數(shù)量最多,而這些服務(wù)器將會(huì)面臨嚴(yán)峻的網(wǎng)絡(luò)攻擊,如端口掃描、口令爆破、漏洞掃描等。據(jù)觀測(cè),全網(wǎng)每天有大量的掃描流量對(duì)系統(tǒng)的SSH或數(shù)據(jù)庫(kù)類(lèi)端口進(jìn)行探測(cè),一旦探測(cè)成功則進(jìn)行爆破,獲取主機(jī)權(quán)限。被攻陷的Linux主機(jī)通常被用于挖礦和DDoS攻擊,以及通過(guò)內(nèi)網(wǎng)蠕蟲(chóng)擴(kuò)散捕獲更多“肉雞”。這一現(xiàn)象將嚴(yán)重影響了網(wǎng)絡(luò)空間安全,建議在后續(xù)的網(wǎng)絡(luò)安全感知與治理過(guò)程中,加強(qiáng)對(duì)此類(lèi)系統(tǒng)的安全規(guī)范化管控,對(duì)僵尸主機(jī)進(jìn)行及時(shí)清理。
1.全網(wǎng)超過(guò)5000萬(wàn)Linux系統(tǒng)主機(jī)暴露SSH端口,遭受?chē)?yán)峻的端口掃描與爆破威脅;
2.系統(tǒng)遠(yuǎn)程管理類(lèi)端口與數(shù)據(jù)庫(kù)類(lèi)端口為黑客頻繁攻擊目標(biāo);
3.弱口令和專(zhuān)有設(shè)備默認(rèn)口令(如cisco、Pi、db2as)等仍是黑客攻擊首選 ;
4.針對(duì)Linux系統(tǒng)的攻擊源主要集中在歐州、中美韓等國(guó),攻擊系統(tǒng)多為L(zhǎng)inux主機(jī);
5.Linux主機(jī)失陷后,多被應(yīng)用于挖礦、發(fā)起DDoS攻擊以及內(nèi)網(wǎng)蠕蟲(chóng)擴(kuò)散捕獲肉雞,最常見(jiàn)的木馬有蓋茨木馬、樹(shù)莓派等。
一直以來(lái),Linux操作系統(tǒng)有著廣泛的應(yīng)用領(lǐng)域:
1.作為企業(yè)級(jí)服務(wù)器應(yīng)用
其可以作為企業(yè)架構(gòu)www服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、負(fù)載均衡服務(wù)器、DNS服務(wù)器。在使企業(yè)降低運(yùn)營(yíng)成本的同時(shí),還能保證系統(tǒng)的高穩(wěn)定性和高可靠性;
2.作為嵌入式Linux系統(tǒng)應(yīng)用系統(tǒng)
從因特網(wǎng)設(shè)備(路由器、交換機(jī)、防火墻、負(fù)載均衡器)到專(zhuān)用的控制系統(tǒng)(自動(dòng)售貨機(jī)、手機(jī)、PDA、各種家用電器),Linux系統(tǒng)都有廣闊的應(yīng)用市場(chǎng)。近幾年,Linux操作系統(tǒng)已成功躋身于主流嵌入式開(kāi)發(fā)平臺(tái),滲透到電信、金融、教育等各個(gè)行業(yè)。各大硬件廠商、大型/超大型互聯(lián)網(wǎng)企業(yè)都在使用Linux系統(tǒng)作為其服務(wù)器端的程序運(yùn)行平臺(tái)。
今年8月,安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)使用Sumap平臺(tái),在互聯(lián)網(wǎng)中探測(cè)到大量開(kāi)放了SSH端口的設(shè)備,探測(cè)發(fā)現(xiàn)全球共有51,689,792個(gè)端口暴露,其中中國(guó)有11,964,730個(gè)。
其SSH端口暴露的地域分布TOP10如下:
排名前三的SSH端口暴露的地域及數(shù)量分別是:
美國(guó) 14,448,205個(gè);中國(guó)11,964,730個(gè);德國(guó)2,710,689個(gè)。
美國(guó)和中國(guó)的開(kāi)放SSH端口數(shù)量最多,遙遙領(lǐng)先其他國(guó)家,大量開(kāi)放的SSH端口將Linux系統(tǒng)暴露在互聯(lián)網(wǎng)上,大大增加系統(tǒng)面臨的風(fēng)險(xiǎn)。
安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)分析了大量Linux系統(tǒng)遭受攻擊的情況后發(fā)現(xiàn):端口暴露的單個(gè)Linux系統(tǒng),平均遭受超過(guò)40,000次/天的網(wǎng)絡(luò)攻擊,黑客大多采取高頻持續(xù)性攻擊方式,攻擊頻率平均約5次/秒。
跟蹤Linux系統(tǒng)被入侵情況發(fā)現(xiàn):某弱口令Linux系統(tǒng)每月有約17,000次被入侵成功,在入侵成功之后通常會(huì)進(jìn)行查看主機(jī)信息、關(guān)閉防火墻、文件下載等操作行為,進(jìn)而實(shí)現(xiàn)與遠(yuǎn)端C2主機(jī)的回連控制,在后續(xù)進(jìn)行挖礦或DDoS攻擊等。
2.3.1 遠(yuǎn)程控制與數(shù)據(jù)庫(kù)端口遭受集中掃描
對(duì)Linux系統(tǒng)進(jìn)行端口掃描是攻擊者最常用的一種方式,通過(guò)掃描可發(fā)現(xiàn)是否存在漏洞或是否開(kāi)放了某些端口的服務(wù)器,并使用漏洞或者爆破的手段攻擊服務(wù)器。
不同國(guó)家對(duì)端口掃描的目標(biāo)會(huì)有很大的區(qū)別,以下是對(duì)不同國(guó)家端口掃描的分析情況:
*說(shuō)明:2222、2223端口常被用于系統(tǒng)遠(yuǎn)程管理;3306端口被用于MYSQL;80和443端口為web服務(wù)器的常用端口;25端口為SMTP端口。
總體來(lái)講,入侵的端口集中在遠(yuǎn)程訪問(wèn)與數(shù)據(jù)庫(kù)端口,可見(jiàn)大部分主流黑客的掃描探測(cè)傾向簡(jiǎn)單粗暴。對(duì)系統(tǒng)運(yùn)維人員而言,日常嚴(yán)格的端口管理就能規(guī)避風(fēng)險(xiǎn),但根據(jù)端口暴露數(shù)據(jù)顯示,某些運(yùn)維人員在安全管理層面意識(shí)淡漠,給黑客留下可乘之機(jī)。
2.3.2 弱口令與專(zhuān)有設(shè)備默認(rèn)口令爆破問(wèn)題嚴(yán)峻
暴力破解是最常用且操作簡(jiǎn)單的方式,安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)監(jiān)測(cè)到對(duì)Linux系統(tǒng)常用的暴力破解所涉及的用戶(hù)名和密碼情況分布如下:
從用戶(hù)名上看:root、admin、shell、enable、default這類(lèi)經(jīng)典弱口令,仍然占據(jù)主流。
從密碼上看:system、user、1234、sh等默認(rèn)口令與簡(jiǎn)單密碼序列是黑客最常用的爆破密碼。
除弱口令這種被黑客慣用的爆破方式外,專(zhuān)有設(shè)備默認(rèn)口令爆破也是黑客常用的攻擊方式。如下是常用專(zhuān)有設(shè)備默認(rèn)口令賬戶(hù):
對(duì)比上圖2-4(常見(jiàn)爆破用戶(hù)名情況)可發(fā)現(xiàn),存在大量專(zhuān)有設(shè)備默認(rèn)口令賬戶(hù)爆破。
綜上,弱口令爆破是黑客最?lèi)?ài)用的攻擊方式之一,這樣的攻擊方式低成本且易成功率極高。所以對(duì)我們而言不要貪圖“一時(shí)爽”,將密碼和用戶(hù)名設(shè)置的盡量復(fù)雜,同時(shí)間隔一段時(shí)間(如:30天)對(duì)密碼進(jìn)行修改。企業(yè)用戶(hù)因數(shù)據(jù)具有更大的價(jià)值,更應(yīng)該加強(qiáng)員工管理密碼的意識(shí)。而對(duì)專(zhuān)有設(shè)備、物聯(lián)網(wǎng)設(shè)施的探測(cè)已經(jīng)蔚然成風(fēng),對(duì)這些非服務(wù)器類(lèi)設(shè)備的安全管理迫在眉睫。
針對(duì)Linux系統(tǒng)的掃描探測(cè)攻擊源從區(qū)域角度來(lái)看,歐洲、中國(guó)、美國(guó)以及韓國(guó)攻擊源最為集中。以下為攻擊源各國(guó)分布情況:
我們對(duì)攻擊者所使用的系統(tǒng)進(jìn)行追蹤分析,下圖是攻擊者系統(tǒng)分布:
檢測(cè)發(fā)現(xiàn)在已知的操作系統(tǒng)中有超過(guò)60%的攻擊系統(tǒng)為L(zhǎng)inux,這其中不乏已被攻陷的僵尸主機(jī)被利用。
安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)通過(guò)長(zhǎng)期跟蹤觀測(cè)互聯(lián)網(wǎng)中攻擊流量的數(shù)據(jù),分析發(fā)現(xiàn)目前針對(duì)Linux主機(jī)的攻擊目的,主要集中在捕獲肉雞進(jìn)行挖礦與DDoS攻擊上,本次選取其中較為典型的兩款木馬簡(jiǎn)要分析:蓋茨木馬、樹(shù)莓派木馬。
3.1.1概述
Billgates木馬攻擊是Linux系統(tǒng)中主流的木馬攻擊類(lèi)型,主要用于DDoS攻擊或挖礦。以下對(duì)Billgates中近期出現(xiàn)的攻擊情況進(jìn)行分析。
2018年7月30日安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)在某蜜罐平臺(tái)中,捕獲了一種DDoS木馬。其來(lái)源IP為61.178.179.93,通過(guò)對(duì)SSH爆破,進(jìn)入蜜罐偽裝的文件系統(tǒng),并下載一個(gè)能使機(jī)器變?yōu)楣粽呷怆u的木馬文件,從而可發(fā)起DDoS攻擊。
其木馬文件的情況如下:
分析可見(jiàn),攻擊者一共下載了三次,成功了一次。
3.1.2 入侵過(guò)程
黑客首先對(duì)開(kāi)放的SSH服務(wù),通常是登錄22端口進(jìn)行爆破,爆破后進(jìn)入蜜罐偽裝的文件系統(tǒng),進(jìn)入系統(tǒng)后,該攻擊者首先關(guān)閉了防火墻,然后從源IP 61.178.179.93的45454端口獲取木馬,并且反復(fù)啟動(dòng)該木馬程序。
該木馬下載路徑如下:http://61.178.179.93:45454/Hoogp,目前該路徑可以訪問(wèn)與下載:
該木馬下載IP 61.178.179.93來(lái)自中國(guó)甘肅,曾發(fā)起過(guò)網(wǎng)絡(luò)攻擊行為,并被安恒威脅情報(bào)中心標(biāo)記為惡意軟件站點(diǎn)。
通過(guò)對(duì)Hoogp樣本分析發(fā)現(xiàn)其為一個(gè)惡意文件,同時(shí)多款殺毒軟件也檢測(cè)出其為后門(mén)和DDoS。
3.1.3 通信行為
我們進(jìn)一步對(duì)文件的通信行為進(jìn)行分析,發(fā)現(xiàn)其關(guān)聯(lián)的域名是:xunyi-gov.cn和DDoS.xunyi-gov.cn,其域名xunyi-gov.cn已被標(biāo)記為 BillGates 僵尸網(wǎng)絡(luò)。
網(wǎng)站下存在5個(gè)子域名,分別為:blog.xunyi-gov.cn;hack.xunyi-gov.cn;www.xunyi-gov.cn;DDoS.xunyi-gov.cn;s.xunyi-gov.cn。其子域名大多被標(biāo)記為遠(yuǎn)控或惡意軟件。
對(duì)另一個(gè)關(guān)聯(lián)域名進(jìn)行反查:DDoS.xunyi-gov.cn,發(fā)現(xiàn)仍然被標(biāo)記為惡意軟件通信相關(guān):
另外根據(jù)關(guān)聯(lián)關(guān)系分析結(jié)果如下,發(fā)現(xiàn)該組織對(duì)批量的惡意域名通信控制,捕獲大量主機(jī),推測(cè)其為一定規(guī)模的黑客組織行為。
3.2.1 概述
樹(shù)莓派是在2017年推出的一款單片機(jī)計(jì)算機(jī),一款只有信用卡大小且系統(tǒng)底層基于Linux的微型電腦。
2018年7月31日,安恒安全數(shù)據(jù)大腦團(tuán)隊(duì)在某蜜罐系統(tǒng)發(fā)現(xiàn)攻擊者留下的針對(duì)樹(shù)莓派系統(tǒng)進(jìn)行入侵與挖礦的惡意文件,通過(guò)分析日志發(fā)現(xiàn),攻擊IP為121.153.206.110,位于韓國(guó)。
3.2.2 入侵過(guò)程
該攻擊者于2018-7-31 14:17:37,通過(guò)樹(shù)莓派默認(rèn)賬號(hào)pi和弱口令,登入了蜜罐。
通過(guò)進(jìn)一步查看攻擊者執(zhí)行的指令可以發(fā)現(xiàn),其通過(guò) scp指令獲取了一個(gè)名為”E7wWc5ku”的文件,并將其保存在/tmp 下。隨后進(jìn)入 tmp目錄賦予該文件可執(zhí)行權(quán)限,調(diào)用 bash腳本執(zhí)行這個(gè)文件。
3.2.3 行為分析
我們隨后對(duì)該Shell腳本的完整內(nèi)容獲取并進(jìn)行了分析,該腳本在殺死一堆其他的挖礦進(jìn)程以及占用系統(tǒng)資源的進(jìn)程后,將進(jìn)行挖礦。
殺死一堆其他挖礦程序與進(jìn)程:
隨后將一個(gè)可疑地址加入到/etc/hosts,將本地地址解析到bins.deutschland-zahlung.eu。接著刪除shell設(shè)置的環(huán)境變量,并且改掉pi用戶(hù)的密碼信息,ssh生成公鑰寫(xiě)入ssh配置文件。指定DNS,寫(xiě)入了一個(gè)可疑的EOF MARKER文件,其中有一串可疑的域名,分析認(rèn)為是IRC服務(wù)器;
接著在后臺(tái)掛起了這個(gè)EOF MARKER文件,并下載了zmap 和sshpass,利用 zmap 進(jìn)行內(nèi)網(wǎng)探測(cè),繼續(xù)利用當(dāng)前機(jī)器,以”pi:praspberry”和”pi:praspberryaspberry993311”這樣的口令去掃描IP 列表下的其他機(jī)器,一旦攻入則通過(guò)scp上傳攻擊腳本。
通過(guò)本文分析的當(dāng)前Linux系統(tǒng)面臨的主流威脅情況,為后續(xù)對(duì)系統(tǒng)的規(guī)范化管理與治理提供了可靠的依據(jù)。
從當(dāng)前互聯(lián)網(wǎng)中系統(tǒng)遠(yuǎn)程服務(wù)或數(shù)據(jù)庫(kù)端口暴露,被爆破情況嚴(yán)重的情況分析來(lái)看,服務(wù)器的系統(tǒng)端口需加強(qiáng)規(guī)范化管理。在日常運(yùn)維中,需要避免不必要的應(yīng)用端口對(duì)外開(kāi)放,尤其是遠(yuǎn)程服務(wù)端口、數(shù)據(jù)庫(kù)應(yīng)用等極易被探測(cè)爆破的類(lèi)型,如必須開(kāi)放則做好網(wǎng)絡(luò)訪問(wèn)控制,也可免遭非法地址發(fā)起的攻擊行為。規(guī)范化管理端口的操作簡(jiǎn)易,但是卻收效顯著。
大量物聯(lián)網(wǎng)設(shè)備的底層系統(tǒng)采用了Linux,相比于傳統(tǒng)的服務(wù)器運(yùn)維管理,由于發(fā)展時(shí)間短,管理機(jī)制不夠成熟,這類(lèi)系統(tǒng)的安全十分薄弱,管理配置混亂,尤其是以默認(rèn)賬號(hào)密碼問(wèn)題尤為突出,無(wú)論是過(guò)去爆發(fā)的攝像頭黑天鵝事件,還是物聯(lián)網(wǎng)終端設(shè)備發(fā)起的DDoS攻擊導(dǎo)致美國(guó)斷網(wǎng)事件,都充分暴露了系統(tǒng)安全開(kāi)發(fā)、配置、管理的不規(guī)范,因此對(duì)物聯(lián)網(wǎng)終端的設(shè)備安全規(guī)范管理規(guī)范亟需推進(jìn),強(qiáng)制檢測(cè)產(chǎn)品的安全規(guī)范。
目前網(wǎng)絡(luò)中已經(jīng)存在了大量的僵尸主機(jī),由于缺乏對(duì)網(wǎng)絡(luò)中存在僵尸主機(jī)的檢測(cè)機(jī)制,企業(yè)網(wǎng)絡(luò)、IDC機(jī)房、各類(lèi)公/私有云,都面臨著主機(jī)長(zhǎng)期被控失陷而不自知的問(wèn)題,這一現(xiàn)象又縱容了黑客肆意捕獲肉雞,進(jìn)行DDoS、挖礦、內(nèi)網(wǎng)滲透等行為。因此,采用新型的僵尸主機(jī)檢測(cè)方式,探測(cè)網(wǎng)絡(luò)內(nèi)是否存在系統(tǒng)失陷的安全問(wèn)題成為當(dāng)下最需要解決的問(wèn)題。
威脅情報(bào)通過(guò)對(duì)互聯(lián)網(wǎng)中的流量數(shù)據(jù)的捕獲與國(guó)內(nèi)外共享情報(bào)的分析,可廣泛識(shí)別網(wǎng)絡(luò)中的僵尸主機(jī),提取出被惡意主機(jī)控制的失陷主機(jī)地址,可有效協(xié)助區(qū)域監(jiān)管單位或組織機(jī)構(gòu)發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中是否有被控僵尸主機(jī),開(kāi)展清理工作,防止持續(xù)被控造成不可估量的損失。
以上就是Linux系統(tǒng)在互聯(lián)網(wǎng)中面臨的安全威脅的示例分析,小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘9ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。