Linux平臺流行病毒解析 企業用戶為主要攻擊目標

Linux操作系統擁有高穩定性、通用性、開源等特性，廣泛應用于web服務器、IoT、嵌入式開發、超級計算機等領域作為首選操作系統。近年來，不僅互聯網行業，政府、金融、教育、醫療、制造業、能源等行業也越來越多采用Linux架構的辦公系統和服務器系統。不論是為了維護技術工程人員的開發安全，還是保護企業的信息和財產安全，Linux系統終端的安全防護日益成為一個重要的課題。

根據火絨在線支持與響應平臺相關信息統計，企業用戶較個人用戶更容易成為Linux平臺病毒覬覦和攻擊的對象，占比高達91%。

Linux平臺病毒攻擊用戶類型占比

優點眾多的Linux操作系統并非沒有被攻擊的可能。近年來隨著Linux平臺終端數量日漸增長，針對Linux平臺的惡意程序也越來越多，且使用技術手段越來越復雜。近年來，火絨用戶所遇到的Linux平臺病毒問題總體呈增多趨勢，2021年度有所下降，但進入2022年又有增長跡象，值得用戶警惕。

Linux平臺病毒問題增長趨勢圖

Linux平臺病毒問題主要為蠕蟲病毒、勒索病毒、后門病毒，其中蠕蟲病毒占比近半。在蠕蟲病毒中最主要的惡意行為是惡意挖礦，惡意挖礦所需的技術和攻擊成本較低，能給攻擊者帶來較高的非法收益，這也是近年來此類蠕蟲病毒泛濫的主要原因。火絨用戶所遇到Linux平臺各類病毒的比例，如下圖所示：

Linux平臺病毒類型占比

linux平臺病毒通常具有一定的持久化手段來進行自我保護，給防御和查殺帶來困難。針對以上病毒威脅態勢，火絨安全企業版linux終端產品“火絨終端安全管理系統V2.0”已經正式上線。產品具備完全自主知識產權，適配各類國產主流操作系統和CPU，可有效防御各類Linux平臺病毒，充分滿足企業級用戶對終端的檢測、查殺、管控等需求。

本報告將從流行病毒介紹、傳播途徑、病毒危害、病毒持久化手段和防范建議等角度展開分析說明，為Linux平臺病毒問題處理提供技術佐證。

流行病毒介紹

通過對Linux平臺上近年來較為流行的病毒家族的分析，我們梳理了具有代表性的8種病毒，從類型、功能和傳播手段等方面進行了分類歸納。如下圖所示：

Linux平臺流行的代表性病毒

傳播途徑

Linux平臺病毒利用各種途徑來進行傳播，主要通過漏洞和弱口令暴破進行傳播，暴破傳播主要以SSH暴破為主，漏洞傳播主要以各種RCE漏洞為主。病毒傳播流程圖，如下所示：

病毒傳播流程圖

弱口令暴破傳播

Linux平臺病毒會針對SSH、Tomcat、Wordpress等網絡服務進行弱口令暴破，弱口令暴破方式以SSH暴破為主，由于SSH協議應用場景的廣泛，絕大多數Linux終端都會開啟SSH服務，導致SSH暴破已經成為了Linux平臺病毒的主要傳播手段。SSH暴破以云鏟病毒為例，其使用開源庫libssh對互聯網的終端進行暴破，相關代碼，如下圖所示：

云鏟病毒SSH暴破相關代碼

云鏟病毒使用的暴破字典，如下圖所示：

暴破字典

暴破成功后，通過開源庫libssh將本地的病毒文件上傳至目標終端進行傳播，相關代碼，如下圖所示：

向目標發送病毒模塊并執行

Tomcat和Wordpress暴破以Sysrv-Hello病毒為例，Tomcat暴破代碼，如下圖所示：

Tomcat暴破

Wordpress暴破代碼，如下圖所示：

Wordpress暴破

漏洞傳播

Mirai、DDGMiner、Sysrv-Hello病毒為例，這類病毒會內置漏洞功能，對互聯網或內網進行掃描，如果發現目標存在漏洞，將對目標進行攻擊，植入后門、挖礦等病毒模塊，以Sysrv-Hello病毒為例，該病毒攜帶20余種傳播手段，其中大部分漏洞以RCE漏洞為主，Sysrv-Hello病毒利用的漏洞列表，如下圖所示：

Sysrv-Hello病毒利用的漏洞列表

Sysrv-Hello病毒漏洞傳播的流程，通過隨機生成互聯網IP地址，對目標進行漏洞檢測，如果目標存在漏洞就會執行對應的漏洞利用代碼進行傳播，相關代碼，如下圖所示：

Sysrv-Hello病毒的傳播流程

利用漏洞遠程執行Shell腳本進行橫向傳播。Linux平臺通過echo執行Shell腳本，相關代碼，如下圖所示：

Linux平臺通過echo來執行Shell腳本

人工滲透入侵傳播

這種傳播方式通常是攻擊者利用各種手段如：滲透攻擊、社工手段、釣魚郵件、漏洞利用等攻擊手段針對某一企業或者單位進行人工滲透入侵，攻擊成功后再上傳病毒模塊，以勒索病毒為例，大部分勒索病毒自身并不攜帶任何傳播手段，由攻擊者進行人工滲透入侵，攻擊成功后上傳勒索病毒模塊，通過加密和竊取數據的方式對企業或單位進行敲詐勒索，從而獲得高額的贖金進行獲利。

病毒危害

挖礦

目前Linux平臺病毒中最多的惡意行為是挖礦，攻擊者在受害者不知情的情況下，通過各種手段入侵受害者終端植入挖礦程序，并且在后臺靜默運行，搶占系統大部分資源，造成電腦卡頓影響正常使用。以云鏟病毒為例，相關代碼，如下圖所示：

云鏟病毒下載挖礦模塊

后門

病毒通過各種手段在受害者的終端中留下后門，以下是幾種常見的后門手段：

1．添加SSH公鑰留下后門，以便攻擊者進行SSH連接，以云鏟病毒為例，相關代碼，如下圖所示：

添加SSH公鑰

2．一些病毒自帶后門功能如：執行C&C服務器下發的任意指令、執行C&C服務器下發的任意文件，以H2Miner病毒為例，相關代碼，如下圖所示：

H2Miner病毒的后門功能

DDoS攻擊

一些病毒會攜帶DDoS功能如：XorDdos、Mirai、8220Miner等病毒，DDoS攻擊主要是攻擊者利用受害者終端不間斷的對某一目標發送網絡封包，造成目標癱瘓。以8220Miner病毒舉例，接收服務器下發的指令相關代碼，如下圖所示：

接收C&C服務器下發的指令

指令對應的DDoS功能表，如下圖所示：

指令對應的DDoS功能表

加密勒索

以AvosLocker勒索病毒為例，AvosLocker勒索病毒尋找系統中VMESXI相關文件并使用ECIES和Salsa20加密算法對文件數據進行加密，相關代碼，如下圖所示：

尋找系統中VMESXI相關文件，相關代碼，如下圖所示：

尋找加密文件

文件加密相關代碼，如下圖所示：

AvosLocker文件數據進行加密

勒索信相關內容，如下圖所示：

勒索信相關內容

持久化

病毒啟動之后會使用持久化手段讓自身持續運行，以下是Linux平臺常見的持久化手段。

1．定時任務是Linux病毒常用的持久化手段，可通過向crontab目錄寫入定時任務的方式，來定期執行Shell腳本。以H2Miner病毒舉例相關代碼，如下圖所示：

定時任務

2．添加Linux系統服務，在systemd/system目錄下為病毒模塊創建一個服務配置文件，系統啟動后，病毒會自動運行，以H2Miner病毒為例相關代碼，如下圖所示：

添加Linux系統服務

3．在XorDdos病毒中除了采用以上方式進行持久化外，還創建了多個進程來防止主進程被關閉和防止病毒模塊被刪除，這類持久化進程常常偽裝成系統進程，難以排查，相關代碼，如下圖所示：

XorDdos持久化關鍵代碼

防范建議

使用復雜度高的密碼，避免系統和各個軟件使用相同的密碼

及時更新軟件和系統以及打漏洞補丁

提高自身安全意識，不要從第三方渠道下載軟件，盡量從軟件官方下載

修改默認端口如SSH、Redis、FTP、MySQL等，防止被掃描器暴破

禁用未使用的端口

定期備份重要的數據

不要點擊陌生郵箱中的超鏈接和附件

嚴格控制Root權限，日常操作不要用Root權限進行