歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

數千臺Linux主機被勒索,該如何打好防御戰

來源:本站整理 作者:佚名 時間:2019-09-17 TAG: 我要投稿

近日,國外安全媒體先后報道了一款名為Lilocked的Linux勒索病毒,該勒索病毒目前為止已感染了6000+臺Linux主機,加密后綴為.lilocked。俄國的安全研究員認為,Lilocked很有可能是通過Exim郵件轉發軟件的最新遠程執行漏洞CVE-2019-15846進行傳播的。

其實,這個勒索病毒從今年7月中旬就已經出現了,只不過當時“表現平平”,并沒有引起大眾的關注,但是在近期感染量突增,有爆發感染的趨勢。

使用Google搜索"#README.lilocked"關鍵字,可以關聯到約6340個結果,也就是說,公網上已知的Linux主機,有近6340個主機被該病毒勒索了,然而事實上被勒索的Linux主機肯定遠超這個數字,因為還有很多些未聯網或未被搜索引擎關聯到的主機。

使用zoomeye偵測這些主機的端口,發現大部分都開啟郵件的服務,以此推斷俄羅斯研究員關于Exim漏洞的說法還是有依據的。

勒索Tor地址為:y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion,跟Sodinokibi相似,需要輸入key才能跳轉到相應的勒索聯系界面,黑客提示想要解密文件,必須發送0.03個BTC到錢包地址1KxvqPWMVpCzjx7TevBY3XbMeFNj85Keef。

那么,Linux下的勒索病毒跟Windows平臺的勒索病毒有什么不同?該如何進行防御呢?其實,無論在什么平臺,勒索病毒的工作原理都是相似的:
殺軟檢測 -> 特定語言國家免疫 -> 生成加密密鑰 -> 遍歷除系統文件路徑以外的目錄 -> 加密特定后綴的文件 -> 刪除備份文件 -> 退出。
但Linux勒索病毒一般會比Windows勒索病毒多一個步驟,就是在開始前會利用漏洞進行提權,包括這次的Lilocked勒索病毒,也使用了未公開的漏洞將自身提升為root權限后再進行加密操作。下面就使用開源的Linux勒索病毒GonnaCry演示下,有無root權限情況下的運行情況。GonnaCry的功能比較簡單,使用AES算法加密文件內容,然后修改主機桌面。

在普通用戶權限下,GonnaCry幾乎無法完成加密操作,只能加密幾個臨時文件。

而當以root權限運行時,GonnaCry成功加密,主目錄下的doc文件都被加密成了GNNCRY后綴的文件。可見,Linux勒索病毒在有無root權限下運行,結果是截然不同的。

由于Linux操作系統的權限管控是很嚴格的,除非是在同一個用戶組里的用戶,不然是無法操作其他用戶的文件的,比如:若一個勒索病毒是通過redis漏洞進來的,那么它的所擁有者就是redis賬號(假設使用redis用戶啟動的應用),它將無法讀寫root、user1、user2等其他用戶的文件,這就是為什么Linux惡意軟件都想方設法進行提權的原因。
MSF上面有許多Linux提權漏洞的EXP,勒索病毒只需集成相關的核心代碼即可實現提權,提升到root權限之后,就能夠讀寫操作任意文件了。當然,若你的root密碼是弱密碼,勒索病毒也不用通過漏洞提權那么麻煩了,直接爆破密碼以root權限運行。

其實對于上述情況,Linux系統還是做出了相應的對策的,那就是SELinux和AppArmor。這兩者的主要作用就是采用MAC的策略,最大限度地減小系統中服務進程可訪問的資源(最小權限原則),即使是root用戶也無法隨意操作文件。網上也有相關的使用教程,若規則編寫得當的話,用來防御勒索行為還是挺有效的。

最后,總結一下Linux平臺下防御勒索病毒的幾點使用建議:
1. 盡量不要使用root權限運行Web應用程序。
2. 及時打上重要的補丁,防止應用程序被漏洞利用入侵。
3. root賬號增強密碼復雜性,避免被爆破。
4. 開啟SELinux、AppArmor等功能保護重要文件。
5. 部署終端安全軟件進行防護。
 

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局