Учащаются сообщения о Linux-угрозах. Рассказываем, что с ними делать.
Еще недавно большая часть IT-сообщества была уверена, что машины под управлением Linux не нужно защищать. Считалось, что у системы чуть ли не неуязвимая архитектура, она неинтересна мошеннникам, а идеология открытого исходного кода служит некой гарантией против неожиданного появления серьезных уязвимостей. Но в последнее время всем разумным безопасникам стало очевидно, что эти утверждения далеки от истины.
Угрозы серверам под Linux
Пока киберпреступники атаковали в основном конечных юзеров, серверы под Linux были достаточно защищены. Но мошенники переключились на бизнес, с каждой успешной атаки на него прибыль гораздо больше. Теперь разные сборки Linux удостоились большого внимания, ведь серверы стали стратегически важны для атак. За примерами далеко ходить не надо.
🏴В ноябре 2020 эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах с Linux. Целью зловреда стали атаки на конкретные организации (код и записка о выкупе каждый раз модифицировались под новую цель). Несколько крупных организаций уже были атакованы этим трояном.
🏴Обнаруженный летом 2021 шифровальщик DarkRadiation разработан специально для атак на Red Hat / CentOS и Debian Linux, он также способен останавливать все контейнеры Docker на пораженной машине. Зловред целиком написан на Bash-скрипте, а для коммуникации с серверами управления он использует программный интерфейс Telegram.
🏴Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT, ориентированных на атаки машин под Linux. Практически у каждой группировки есть такие модули — руткиты, бэкдоры, эксплойты.
Отдельные риски несут в себе уязвимости. Да, сообщество open-source внимательно изучает дистрибутивы, коллективно обсуждает уязвимости и даже чаще всего ответственно публикует информацию о них. Но далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».
Уязвимости, порой, находятся достаточно серьезные. Июньская CVE-2021-3560 в системном сервисе polkit (он по дефолту присутствует во многих дистрибутивах Linux) можно использовать для повышения привилегий и по шкале CVSS v3 имеет оценку в 7,8 балла из 10 возможных.
Как защищать серверы под Linux
У нас давно есть решение, служащее для защиты Linux: Kaspersky Endpoint Security for Linux. Но в связи с участившимися случаями подобных атак, мы решили обновить его, снабдив рядом новых технологий.
1️⃣В решении работает полноценный контроль приложений (технология, позволяющая запускать только доверенные приложения или блокировать программы, внесенные в список недоверенных).
2️⃣Мы снабдили его функцией инвентаризации исполняемых программ и возможностью задавать пользовательские категории. Это обеспечивает эффективную защиту от широчайшего спектра угроз.
3️⃣Усилены средства борьбы с шифровальщиками (в обновленной версии такие зловреды детектируются по поведению).
4️⃣Изрядная часть Linux-машин — это не физические серверы, а облачные. Благодаря развитию технологий контейнеризации можно упаковывать приложения в контейнерах, а значит решить вопросы масштабируемости, повысить стабильность работы и эффективность использования вычислительных ресурсов. Поэтому особое внимание мы уделили сценариям развертывания решения в публичных облаках и защите платформ контейнеризации (поддерживаются Docker, Podman, Cri-O, Runc). Как в режиме обнаружения угроз в запущенных контейнерах, с возможностью идентификации конкретных контейнеров, содержащих угрозу, и указанием путей к вредоносным файлам (в среде RunTime), так и в виде сервиса для проверки образов контейнеров по запросу (локальных или расположенных в репозиториях). В последнем сценарии решение Kaspersky Endpoint Security for Linux может быть запущено в виде Docker-контейнера с RESTful API, который можно использовать для автоматизации задач проверки образов контейнеров, например в пайплайнах CI/CD.
5️⃣Теперь есть несколько вариантов управления защитой серверов и контейнерных нагрузок в публичных облаках, таких как Microsoft Azure, AWS, Google Cloud, Yandex Cloud. Первый — через консоль, которая может быть развернута как в собственном датацентре, так и в публичном облаке. Второй — из облачной консоли Kaspersky Security Center Cloud Console, которую разворачиваем и поддерживаем мы, позволяя администратору сфокусироваться собственно на управлении защитой своей инфраструктуры.
Kaspersky Endpoint Security for Linux входит в состав решений Kaspersky Hybrid Cloud, а также интегрируется с сервисом Kaspersky Managed Detection and Response, который позволяет нашим экспертам бороться с особенно опасными киберугрозами, способными обойти автоматические барьеры.