由于 Windows 的普及程度很高，我们发现的大多数 APT 攻击工具都应用在此系统上。与此同时，人们普遍认为 Linux 是默认安全的操作系统，不易受到恶意代码的攻击。诚然，Linux 用户多年来并没有像 Windows 用户那样面临大量病毒、蠕虫和特洛伊木马的威胁。但是，Linux 环境中确实是存在恶意软件的，包括 PHP 后门，rootkit 和漏洞代码。Linux 服务器的战略重要性使其更容易成为各种攻击者的目标。如果攻击者能够攻陷 Linux 服务器，他们不仅可以访问存储在服务器上的数据，而且还可以将攻击目标转向，与被攻陷 Linux 服务器通信的终端，这些终端可能运行 Windows 系统或 macOS 系统，例如：“drive-by download”（路过式下载，指在用户不知道的情况下自动给用户电脑下载间谍软件）。此外，运行 Linux 系统的计算机更有可能没安装安全软件，因此即使被攻击了，也很有可能得不到有效检测和发现。2014 年，Heartbleed 和 Shellshock 漏洞首次暴露，这两个漏洞会使得受感染的 Linux 服务器成为攻击者进入公司网络的网关，并使攻击者可以访问受害公司的敏感数据。

卡巴斯基全球研究与分析团队（GReAT）持续追踪各厂商发布的 APT 报告，对相关内容进行深入研究，定期发布高级持续威胁（APT）活动的摘要。本报告重点介绍了针对 Linux 环境发起攻击的 APT 组织及其使用到的工具。
Barium

卡巴斯基团队在 2013 年首次公布了有关 Winnti APT 集团（又名 APT41 或 Barium）的研究报告，该团伙起初主要针对游戏公司，以获得直接的经济利益。后来，他们扩大了 “业务范围”，开发了许多新工具用于攻击更大的机构。MESSAGETAP 是该小组使用的 Linux 恶意软件，用于选择性地拦截来自电信运营商基础结构的 SMS 消息。根据 FireEye 的说法，该组织将此恶意软件部署在 SMS 网关系统上，作为合法服务的一部分，以此对 ISP 和电信公司进行渗透，建立监视网络。

最近，卡巴斯基团队发现了另一个可疑的 Barium/APT41 工具，它用 Go 语言（也称为 Golang）编写，该工具实现了 Linux 环境下动态的、C2 可控的数据包损坏 / 网络攻击工具。尽管尚不清楚它是为系统任务管理而开发的工具，还是它也是 APT41 工具集的一部分。但从它提供的功能也可以通过其他系统管理工具实现这一线索表明，它是具有恶意性的。此外，它在磁盘上显示的名称是相当常见的，与它的功能毫无关联。这再次表明它可能是用于执行某些隐蔽攻击的工具。
Cloud Snooper

2020 年 2 月，Sophos 发布了一份报告，披露了一个新的攻击组织 Cloud Snooper，并且披露了此组织使用的一套恶意软件。核心是面向 Linux 服务器的内核 rootkit，该内核模块挂钩了 netfilter 流量控制功能，以启用穿越防火墙的隐蔽 C2（命令和控制）通信。卡巴斯基团队分析了与此内核模块配套的用户层后门，称为 “Snoopy”，并能够配置检测和扫描方法来大规模识别 Rootkit。卡巴斯基团队还展示了更多相关样本，以及部署在亚洲的目标服务器。卡巴斯基团队相信，这一不断迭代改进的工具集至少从 2016 年起就被开发出来了。
Equation

卡巴斯基团队在 2015 年发现了 Equation 组织。这是一个非常强大的黑客组织，其活动最早可以追溯到 2001 年，甚至早在 1996 年就参与了多个 CNE（计算机网络利用）活动。多年来，该组织与其他强大的 APT 团体进行了互动或合作。例如 Stuxnet 和 Flame。该小组拥有强大的植入库。卡巴斯基团队发现的是：“EQUATIONLASER”，“ EQUATIONDRUG”，“DOUBLEFANTASY”，“ TRIPLEFANTASY”，“ FANNY” 和 “ GRAYFISH”。Equation 组织的活动不限于 Windows 平台。该小组的 POSIX 兼容代码库允许在其他平台上进行并行开发。2015 年，卡巴斯基团队发现了针对 Linux 的早期 DOUBLEFANTASY 恶意软件。该恶意软件植入后会收集系统信息和凭据，并提供对受感染计算机的合规访问。考虑到该模块在感染生命周期中所扮演的角色，在此模块运行之后，后续应该还有更复杂的模块，虽然卡巴斯基团队目前还没有发现。
HackingTeam

HackingTeam 是来自意大利的知名网络武器制造商，面向世界各国政府、执法机构和企业提供其研制的各类渗透与远控工具。不幸的是，在 2015 年他们被名为 “PhineasPhisher” 的黑客攻击，随后被盗的 400GB 公司数据（包括源代码和客户信息）被公开。这使得其工具可以被全球的黑客组织（例如 DancingSalome（又名 Callisto ））获取、改编和使用。泄漏的工具中甚至包括 Adobe Flash 的 0day 漏洞（CVE-2015-5119）利用工具以及能够提供远程访问、按键记录、常规信息记录和渗透等功能的远控系统（RCS），

也许最值得注意的是，它能够绕过加密流量传输，直接从内存中找出 Skype 音频和视频帧。该公司的 RCS 系统包含许多版本，又名 Galileo，Da Vinci，Korablin，Morcut 和 Crisis，不同的版本又包含很多组件，支持 Windows、macOS 以及.Linux 系统环境中运行。
Lazarus

在 2018 年末，卡巴斯基团队发现了一种新型恶意攻击框架，并在内部将其命名为 MATA。相关攻击集中于韩国，印度，德国和波兰的商业公司。尽管文章分析人员声称攻击中使用的恶意代码与任何已知攻击组织使用的代码都不相同，但经过卡巴斯基反病毒引擎分析后发现，其与 Manuscrypt （Lazarus（又名 Hidden Cobra）使用的复杂恶意软件）的代码相似。与 Lazarus 开发的早期恶意软件一样，此框架包括 Windows 后门。不过，卡巴斯基团队还发现了一个 Linux 变种，并认为是针对网络设备设计的。

2020 年 6 月，卡巴斯基团队分析了与金融和间谍活动攻击中使用的 Lazarus Operation AppleJeus 和 TangoDaiwbo 活动相关的新 macOS 样本。样本已上传到 VirusTotal 。上传的文件还包括 Linux 恶意软件变种，其中包括与 macOS TangoDaiwbo 恶意软件类似的功能。这些样本证实了两年前卡巴斯基团队团队强调的一种发展趋势 —— 该小组正在积极开发非 Windows 恶意软件。
Sofacy

Sofacy（又名 APT28，FancyBear，STRONTIUM，Sednit 和 Tsar Team）是活跃且多产的 APT 组织。从大规模的 0day 利用到恶意软件集的定制开发，Sofacy 组织都有涉及，是卡巴斯基团队分析团队监控的顶级团队之一。该组织武器库中的工具包括 SPLM（也称为 CHOPSTICK 和 XAgent ），这是第二阶段工具，用于对全球目标进行定制化攻击。Sofacy 针对各类系统环境开发了多种工具模块，其中包括 2016 年用于 Linux 的模块，被称为 “Fysbis”。多年来在 Windows，macOS，iOS 和 Linux 环境中发现了具有较强家族特性的恶意模块，这说明该组织的开发人员或一些核心小组仍在修改和维护相关代码。
The Dukes

The Dukes 是一个复杂的威胁参与者，最早由美国在 2013 年记录在案，但其工具攻击可以追溯到 2008 年，该组织负责对车臣，乌克兰，格鲁吉亚以及西方政府和非政府组织的目标发动袭击，该组织被认为是 2016 年民主党全国代表大会黑客攻击的幕后黑手。Dukes 的工具集包括一组实现类似功能的恶意软件，但以几种不同的编程语言进行编码。

该组织的恶意软件和活动包括 PinchDuke ， GeminiDuke ， CosmicDuke ， MiniDuke ， CozyDuke ， OnionDuke ， SeaDuke ， HammerDuke 和 CloudDuke 。其中有至少一个 SeaDuke 包括 Linux 变体。
The Lamberts

Lamberts 是一个高度复杂的威胁参与者组织，据称拥有庞大的恶意软件库，包括被动的，网络驱动的后门，几代模块化后门，收集工具和用于进行破坏性攻击的 wipers。卡巴斯基团队创建了一种配色方案，以区分针对全球不同受害者的各种工具和植入程序。

Lamberts 发现时间线
Tsunami backdoor

Tsunami（又名 Kaiten ）是多个威胁组织使用的 UNIX 后门，2002 年首次被发现用于攻击中。源代码是几年前公开的；现在有 70 多个变种。源代码可以在各种嵌入式设备上顺利编译；并且有用于 ARM，MIPS，Sparc 和 Cisco4500 / PowerPC 的版本。Tsunami 仍然对基于 Linux 的路由器，DVR 和越来越多的 IoT（物联网）设备构成威胁。2016 年，一个 Tsunami 后门的变种，被用于攻击 Linux Mint，当时一个未知的攻击组织入侵了 Linux Mint 的发行版 ISO，并植入了后门。卡巴斯基团队还观察到使用 Tsunami 后门在 Linux 上对一些加密货币用户进行 surgically 攻击。
Turla

Turla （又名 Uroboros，Venomous Bear 和 Waterbug ）是一个讲俄语的组织，以其秘密的渗透策略而闻名，例如使用被劫持的卫星连接，政府的水坑网站，秘密渠道后门，rootkit 和欺骗策略。像其他 APT 组织一样，该威胁参与者多年来也对其工具集进行了重大更改。直到 2014 年，卡巴斯基团队看到的 Turla 使用的每个恶意软件样本都是针对 32 位或 64 位版本的 Windows 设计的。

然后在 2014 年 12 月，卡巴斯基团队发布了有关 Turla 工具库中 Linux 组件 PenguinTurla 的报告。这是一个隐蔽的后门，不需要提升的特权，即管理员或 root 权限。即使对系统具有有限访问权限的人启动它，后门也可以拦截传入数据包并在系统上保持隐身的同时，运行攻击者发来的指令。这也是相当难以发现，因此，如果将其安装在受感染的服务器上，则可能会长时间不被注意。对 Penguin Turla 的进一步研究表明，其起源可以追溯到 1990 年代中期的 Moonlight Maze 行动。今年 5 月，来自 Leonardo 的研究人员发表了有关 Penguin_x64 的报告，Penguin_x64 是 Penguin Turla Linux 后门之前没有发现的变种。根据此报告，卡巴斯基团队生成了可大规模检测 Penquin_x64 感染主机的网络探针，使卡巴斯基团队能够在欧洲和美国发现几十个受感染服务器，最近截至 2020 年 7 月。卡巴斯基团队相信，在 GNU/Linux 工具公开文献之后，Turla 可能会将 Penguin 改造，以便于进行传统情报收集以外的其他行动。
Two-Sail Junk

2020 年 1 月，发现一个水坑，该水坑利用完整的远程 iOS 漏洞开发链部署了一个功能丰富的植入程序 LightSpy 。该网站的目的是根据目标网页的内容来定位香港的用户。目前，卡巴斯基团队可以将活动关联到一个已知的攻击组织，卡巴斯基团队已经给这个植入程序背后的威胁参与者命名为” Two-Sail Junk”。但是，尽管卡巴斯基团队的公共报告侧重于 iOS 植入程序，但该项目比以前想象的要广泛，支持 Android 植入程序，并且可能支持 Windows，Linux 和 MacOS 的植入程序。
WellMess

2020 年 3 月，卡巴斯基团队开始积极跟踪与恶意软件（通常称为 WellMess）关联的新 C2 服务器，这表明可能会有大规模的新活动。该恶意软件最初由 JPCERT 于 2018 年 7 月记录在案，并从那时起一直零散活跃。有传言暗示可能与 CozyDuke 组织（又名 APT29）存在联系，并猜测目前的活动集中在医疗保健行业，尽管卡巴斯基团队无法证实任何说法。WellMess 是一种用.NET 和 Go（Golang）编写的远程访问木马，可同时兼容 Windows 和 Linux。
WildNeutron

卡巴斯基团队在 2015 年与 Symantec 的同事一起首次发布了有关 WildNeutron 攻击组织的信息，Symantec 的同事称之为 Morph 或 Butterfly。这个组织在 2012-2013 年对 Twitter，Microsoft，Apple 和 Facebook 的攻击中脱颖而出，是卡巴斯基团队所见到的最难以捉摸，最神秘和最活跃的群体之一。他们的武器库包括许多有趣且创新的工具，例如 LSA 后门或 IIS 插件，以及基于零日的部署和物理部署。毫不奇怪，在几种已知的攻击中，WildNeutron 也使用了定制的 Linux 后门。
Zebrocy

Zebrocy 是自 2015 年以来卡巴斯基团队一直在跟踪的自定义恶意软件。使用此恶意软件的组织最初是隶属于 Sofacy 攻击组织，但也与其他 APT 组织有相似和重叠之处。该小组已经开发了多种语言的恶意软件，包括 Delphi，AutoIT ，.NET，C＃，PowerShell 和 Go。Zebrocy 主要针对中亚政府和与政府有关的组织，包括国内部门和驻外机构。该组织广泛使用鱼叉式网络钓鱼来破坏 Windows 终端。但是，其后门通过 80 端口与指定 IP 的 Web 服务器直接通信。并且该小组似乎更喜欢 Linux 作为其基础架构的一部分 —— 特别是在 Debian Linux 上运行的 Apache 2.4.10。
保护 Linux 系统的建议

Linux 系统不受保护，其中一个重要的原因是，使用 Linux 而不是更流行 (也更有针对性) 的 Windows，会产生一种错误的安全感。尽管如此，卡巴斯基团队希望上述所有观点都足够令人信服，让您开始认真地保护基于 Linux 的计算机。

第一个建议是维护软件的可信来源列表。就像安装 Android 或 iOS 应用程序推荐的方法一样 —— 仅从官方存储库安装应用程序。在 Linux 世界中，用户享有更大的自由：例如，即使您使用的是 Ubuntu，也不仅限于 Canonical 自己的存储库。任何.DEB 文件，甚至 GitHub 上的应用程序源代码都可以为您服务。但是请明智地选择这些来源。不要盲目地遵循 “从服务器运行此脚本进行安装” 之类的说明；或 “ curlhttps：//install-url| sudo bash”–这是一场安全噩梦。

还请注意从这些受信任的存储库中获取应用程序的安全方法。您更新应用程序的渠道必须使用 HTTPS 或 SSH 协议进行加密。除了您信任软件源及其交付渠道之外，及时更新至关重要。大多数现代 Linux 版本都可以为您做到这一点，但是简单的 cron 脚本可以帮助您得到更多的保护，并在开发人员发布修补程序后立即获取所有修补程序。

卡巴斯基团队建议的下一步是检查与网络相关的设置。使用 “netstat -a” 之类的命令，您可以过滤掉主机上所有不必要的打开的端口。请使用您真正需要或使用的网络应用程序，以最大程度地减少网络占用空间。另外，强烈建议从 Linux 发行版中正确设置防火墙，以过滤流量并存储主机的网络活动。不直接上网，而是通过 NAT 也是一个好主意。

为了继续执行与网络相关的安全规则，卡巴斯基团队建议至少使用密码保护本地存储的 SSH 密钥（用于网络服务）。在更 “偏执” 模式下，您甚至可以将密钥存储在外部受保护的存储中，例如来自任何受信任供应商的令牌。在连接的服务器端，现在为 SSH 会话设置多重身份验证并不难，例如发送到手机的消息或其他机制（例如身份验证器应用程序）。

到目前为止，卡巴斯基团队的建议涵盖了软件来源，应用程序交付渠道，避免了不必要的网络占用空间和保护加密密钥。卡巴斯基团队建议在文件系统级别监视您找不到的威胁的一个想法是保留并分析网络活动日志。您可以安装并使用带外网络分接头来独立监视和分析 Linux 系统的网络通信。

作为威胁模型的一部分，您需要考虑以下可能性：尽管采取了上述所有措施，攻击者仍可能破坏您的保护。考虑到攻击者在系统中的持久性，考虑下一个保护步骤。他们可能会进行更改，以便能够在系统重新启动后自动启动特洛伊木马程序。

因此，您需要定期监视主要配置文件以及系统二进制文件的完整性，以防文件病毒感染。上面提到的用于监视网络通信的日志在此处完全适用：Linux 审核系统收集系统调用和文件访问记录。其他守护程序（例如 “osquery”）可以用于同一任务。

设备的物理安全性也很重要。如果您的笔记本电脑最终落入攻击者的手中，并且您没有采取措施保护它免受攻击，则无论您对网络和系统级别强化的关注程度如何，也无关紧要。应考虑全磁盘加密和安全启动机制，以保障物理安全。一种更像间谍的方法是将防篡改安全磁带放置在最关键的硬件上。

具有 Linux 安全性的专用解决方案可以简化保护任务：Web 威胁防护可以检测到恶意网站和网络钓鱼网站；网络威胁防护可检测传入流量中的网络攻击；行为分析可以检测到恶意活动，而设备控制则可以管理连接的设备并对其进行访问。

卡巴斯基团队的最终建议与 Docker 有关。这不是理论上的威胁：容器的感染是一个非常现实的问题。容器化本身并不能提供安全性。一些容器与主机之间是完全隔离的，但并非所有容器都存在于网络和文件系统接口中，并且在大多数情况下，物理世界和容器化世界之间存在桥梁。

因此，您可以使用允许在开发过程中添加安全性的安全解决方案。卡巴斯基混合云安全性通过脚本在不同阶段扫描 Docker 映像中的恶意元素，包括与 Jenkins 等 CI / CD 平台集成。

为了防止供应链攻击，可以使用容器，图像以及本地和远程存储库的 OAS 和按需扫描 ODS。命名空间监视、基于掩码的灵活扫描范围控制以及扫描不同层容器的能力有助于实施安全开发最佳实践。

卡巴斯基团队已将此建议列表分为逻辑部分。请记住，除了应用卡巴斯基团队提到的所有措施之外，您还应该定期审核并检查所有生成的日志和任何其他消息。否则，您可能会错过入侵的迹象。对于安全爱好者来说，最终的想法是采取积极措施，不时提供系统渗透测试。
建议与总结：

● 维护受信任的软件源列表，避免通过未加密的方式进行更新。

● 不要执行从不可信的软件源下载的二进制文件和脚本。尤其是使用 “curl https：//install-url | sudo bash” 命令。

● 确保更新过程的有效性，并设置自动更新。

● 花时间来正确设置防火墙：确保它记录了网络活动，阻止了所有未使用的端口，并最大程度地减少了网络占用空间。

● 使用基于密钥的 SSH 身份验证，使用密码保护密钥。

● 使用双因素认证 (2FA) 并将敏感密钥存储在外部令牌设备（例如 Yubikey ）上。

● 使用带外网络分接头独立监视和分析 Linux 系统的网络通信。

● 维护系统可执行文件的完整性。定期检查配置文件更改。

● 为内部 / 物理攻击做好准备：使用全盘加密，可信 / 安全启动，并在关键硬件上安装防篡改性安全磁带。

● 主机审计、日志检查，形成攻击指示器（IOA）。

● 对 linux 主机进行渗透测试。

● 使用具有 Web 和网络保护以及 DevOps 保护功能的专用 Linux 安全解决方案。

以上文章部分内容采集于网络，如有侵权请联系未来云客服处理，谢谢！