LINUX.ORG.RU
ФорумTalks

Стала хуже Windows. Linux - рекордсмен по росту числа вирусов и троянов

 , ,


1

1

За первые полгода 2022 г. количество вредоносов под Linux выросло на 646%. Это абсолютный рекорд среди ОС – даже Windows осталась позади. Атаки на Linux-системы выгодны хакерам, поскольку на них работают облака, а также устройства интернета вещей, которые можно «зомбировать» и подключить к ботнет-сети.

Операционные системы на базе Linux в совокупности заняли первое место по темпам прироста написанного специально под них вредоносного софта. По данным сервиса Atlas VPN, всего за год, с первой половины 2021 г., число малварей под Linux подскочило на 646%.

Если годом ранее видов и модификаций такого рода ПО было в пределах 226,3 тыс., то теперь уже почти 1,69 млн. Но это не единственный антирекорд Linux – в период с 1 января по 30 июня 2022 г. в мире появилось больше вредоносных программ под эту систему, чем за весь 2021 г.

Фактически, Linux остался единственной ОС из наиболее распространенных, для которой зафиксирован именно прирост числа малварей. В случае Windows и Android, а также macOS эксперты Atlas VPN в первой половине 2022 г. наблюдали обратный процесс.

Суть кроется в сферах использования Linux. На пользовательских устройствах его дистрибутивы встречаются крайне редко – 2,75% против 14,49 у macOS и 75,28% у Windows. Зато именно Linux является основой подавляющего большинства современных популярных облачных сервисов, что уже делает его более привлекательным в глазах хакеров.

Кроме того, на Linux работают и многочисленные устройства интернета вещей. Их взлом открывает киберпреступникам широчайший простор для «творчества». Например, они могут получить доступ к устройствам умного дома и устроить слежку за их владельцем или просто подключить их к своим ботнет-сетям. Также Linux работает на внутренних системах многих сетей, что делает атаки устройства под управлением этих ОС очень прибыльными.

Продемонстрировав колоссальный прирост числа малварей, Linux лишь незначительно приблизился по их абсолютному количеству к Windows. Если вредоносов для Linux насчитывается в пределах 1,7 млн, то для Windows их в десятки раз больше – 41,4 млн.

Вероятнее всего, системы Microsoft лидируют в данном рейтинге лишь благодаря своему широкому распространению. Она установлена на большинстве компьютеров мира, где хакерам всегда есть, чем поживиться. Это могут быть например, персональные данные или информация, представляющая коммерческую тайну. А вирус-шифровальщик, успешно подсаженный в сеть какой-нибудь компании, может принести хакеру солидный доход в виде выкупа в обмен на дешифратор.

Однако впечатляющая скорость появления новых вирусов и троянов под Linux может означать, что в относительно скором будущем Linux если и не догонит Windows, то приблизился к ней вплотную. Эксперты Atlas VPN выпустили ряд рекомендаций для пользователей и администраторов систем на Linux, которые позволят снизить риск заражения ПК или сети вредоносом.

Они заключаются в регулярном обновлении своих устройств, включая апдейты для антивирусов и самой ОС, в том числе исправления для систем безопасности. Также в рекомендациях упомянуто использование программ для шифрования особенно ценной информации, чтобы даже в случае заражения она не досталась злоумышленникам.

Количество атак тоже растет По мере роста интереса киберпреступников к устройствам на Linux увеличивается не только число малварей под него, но и количество совершаемых атак. Как сообщал CNews, по итогам 2021 г. число заражений Linux-устройств вредоносным ПО в сумме выросло на 35% в сравнении с 2020 г.

Основной удар приняли на себя устройства интернета вещей. Их взломать проще всего, поскольку на них, как правило, установлены, урезанные версии Linux, а их владельцы не особо стремятся регулярно обновлять ПО для них. Да и многие производители выпускают апдейты безопасности слишком редко, в результате чего устройства интернета вещей рано или поздно становятся частью крупных ботнет-сетей.

Наиболее востребованными среди хакеров семействами вредоносов под Linux оказались XorDDoS, Mirai и Mozi. Согласно отчету Crowdstrike, по итогам 2021 г. на них пришлось около 22% всех зафиксированных атак на Linux-системы. Рекордсменом в этом плане стало семейство Mozi. Всего за год его активность выросла в 10 раз. Mozi представляет собой одноранговую (P2P) ботнет-сеть, в которой используется система распределенной хеш-таблицы (DHT), реализующая собственный расширенный DHT.

https://safe.cnews.ru/news/top/2022-08-03_huzhe_windowslinux_stal_rekordsmenom

Ответ на: комментарий от vbr

когда ты набираешь su

когда чрутюсь или когда на ходу передаю параметры ядру… как вирус этот рут получит? откуда он возмется?

или sudo

sudo apt update\upgrade\install\remove не понимаю - откуда должен появиться вирус? тут если только репу дебиана подломить и подменить пакеты вирусами.

amd_amd ★★★★★
()
Ответ на: комментарий от amd_amd

Ты открываешь терминал. В терминале запускается bash. Он выполняет ~/.bash_profile, в котором вирус прописал свою программу. Которая перехватывает терминал у bash и пропускает всё через себя. Ты написал sudo apt update, sudo у тебя спросил пароль. Ты его напечатал. Всё, вирус знает твой пароль, он «внутри себя» вызвал sudo и получил рута.

Если у тебя sudoers грамотно настроен и не требует пароля на нужные тебе команды, с помощью которых невозможно получить рута, ну честь тебе и хвала. Не у всех так. Это, пожалуй, единственная польза от sudo.

В линуксе с безопасностью всё плохо. Изоляция пользователя от рута особо не продумана, по крайней мере для десктопа. На сервер хотя бы изначально можно под рутом заходить через ssh.

В винде есть опция, когда UAC требует нажатия ctrl+alt+del, который невозможно перехватить. И уже там вводить пароль. Это пример нормальной продуманной безопасности. Хотя и не включенной по умолчанию, что, конечно, ощутимо уменьшает её пользу.

vbr ★★★★
()
Последнее исправление: vbr (всего исправлений: 4)
Ответ на: комментарий от amd_amd

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-mozilla-firefox-and-could-allow-for-remote-code-execution_2022-029 вполне себе вектор атаки.

тут если только репу дебиана подломить и подменить пакеты вирусами.

в том числе и на ментейнеров дебиана.

x3al ★★★★★
()
Ответ на: комментарий от amd_amd

витая пара из вне воткнута в wan, хрен ты так в роутер проникнешь хоть обосрись.

Были же какие-то длинки ЕМНИП, в админку которых можно было снаружи попасть. Давно были.

Zhbert ★★★★★
()
Ответ на: комментарий от vbr

Он выполняет ~/.bash_profile, в котором вирус прописал свою программу

какая то фигня… во первых откуда вирус? во вторых как он мне в .bash_profile что то прписал без моего ведома? я ничего не прописывал и команд таких прописать не давал, пока команд нет - никаких действий не будет.

amd_amd ★★★★★
()
Ответ на: комментарий от Zhbert

Давно были

чего то такого не застал или прошло мимо

amd_amd ★★★★★
()
Ответ на: комментарий от Zhbert

Не знаю как у вас, а у нас сейчас ВСЕ роутеры поставляемые интернет провайдерами контролируются снаружи, сервисом провайдера. Я на всё это смотрю с ужасом. У нас старенький tp-link и я успешно отбиваюсь от предложений перейти на оптику (и провайдерский роутер безальтернативно), но знакомые уже все давно там. Такшта, взломать снаружи сейчас можно большинство роутеров моего города.

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Я конечно майнер на линукс словил разок, но это из за пароля на ссх вместо ключа.

Как? Не раскроете подробности?

anc ★★★★★
()
Ответ на: комментарий от garik_keghen

Ну зачем так просто? Можно инструкцию посложнее сделать, telinit 1 и дальше выполните mycoolscript :) Чем сложнее инструкция тем интереснее результат :)

anc ★★★★★
()
Ответ на: комментарий от R_He_Po6oT

У меня от провайдера приходит «гпон-розетка», читай коробка, куда втыкается оптоволокно. За ней стоит мой самолично настроенный роутер, куда доступ есть только у меня. Даже если бы пров поставил свой роутер (да, они предлагают кабель сразу в роутер выткать, прошитый их прошивкой и вот это вот все), я бы за ним все равно поставил свой, ибо нех.

Zhbert ★★★★★
()
Ответ на: комментарий от vbr

когда UAC требует нажатия ctrl+alt+del, который невозможно перехватить.

orly ?

anc ★★★★★
()
Ответ на: комментарий от amd_amd

тут если только репу дебиана подломить и подменить пакеты вирусами.

Зачем репу менять? Достаточно локально dns подпихнуть другой и как следствие другую репу.

anc ★★★★★
()
Ответ на: комментарий от amd_amd

У клиента пароля для входа снаружи нет, но в случае проблем сервис подключается снаружи. Каким образом - не знаю.

И через wan разве можно зайти на 192.168.0.1? Это же адрес отдаваемый во внутрь. Снаружи используется внешний айпи устройства, нет?

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от Zhbert

Ну, кагбе, да, но народ же не заморачивается, вот и полигон для вирусописателей.

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от sagittarius

про wan ни слова не написал

зачем это писать если это само собой разумеется? ввод подключается в wan, а lan это выходы… можно конечно вообще без wan только lan порты использовать и я даже кое где так делаю, но это сугубо для личного удобства в своей внутренней локалке, наружу на первичном сетевом устройстве мак адрес которого на мои паспортные данные записан - все равно наружу wan торчит… но давай разовъем мысль дальше… предположим я беру основной ввод от провайдера и подключаю его сразу в lan на первичном сетевом устройстве и дальше строю всю свою домашнюю сеть на этом, куча роутеров и все они без использования wan подключены… но как попадать в такие роутеры? я в своей локалке при попытке попасть в роутер подключеный без использования wan попадаю мимо этого роутера в следующий который через wan подключен, а в этот который без wan вообще попасть не могу… не знаю всех тонкостей так как не имею к айти совершенно никакого отношения, но одно могу сказать точно - был сильно расстроен когда узнал что витую пару нельзя тупо паралелить как розетки в электропроводке дома.

amd_amd ★★★★★
()
Последнее исправление: amd_amd (всего исправлений: 1)
Ответ на: комментарий от R_He_Po6oT

сидеть в провайдерском роутере

так это проще пареной репы - ты же изнутри, а не снаружи

amd_amd ★★★★★
()
Ответ на: комментарий от amd_amd

был сильно расстроен когда узнал что витую пару нельзя тупо паралелить как розетки в электропроводке дома.

Та можно, но только будет летать низенько :)

anc ★★★★★
()
Ответ на: комментарий от anc

локально dns подпихнуть другой

он у меня и так другой - тот который от провайдера не использую… или ты какой то другой dns имел ввиду? тогда объясни поподробнее как я не заметно для себя, набрав привычную команду # apt update\upgrade\install на левую репу попаду? теоретически такое конечно возможно, я в sources.list заглянул там сплошное http, но это опять же я так сделал, могу в https переделать

amd_amd ★★★★★
()
Ответ на: комментарий от R_He_Po6oT

У клиента пароля для входа снаружи нет, но в случае проблем сервис подключается снаружи

это наверно должны быть специально перепрошитые провайдером под себя устройства… я когда домру пользовался мне такой на халяву предлагали и когда на ктв-спб перешел то же впаривали… я еще думал зачем им это за бесплатно? ну теперь то понятно зачем.

amd_amd ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

влез майнер

так у него порт наружу торчал вот китайцы ключик и подобрали

amd_amd ★★★★★
()
Ответ на: комментарий от amd_amd

он у меня и так другой - тот который от провайдера не использую…

ничего не мешает прову заворачивать запросы на 53-й порт к себе, более того подобная практика уже описывалась. Так что только балет и керамика, только свои сервера не привязанные к локальному прову.

anc ★★★★★
()
Ответ на: комментарий от amd_amd

нет конечно

да конечно. Условий много «конечно» но в целом нельзя исключать такую вероятность.

anc ★★★★★
()
Ответ на: комментарий от anc

telinit 1

Скорее всего на этом приключения закончатся и юзверь будет мечтать попасть назад на 5 уровень, какие там скрипты :P

garik_keghen ★★★★★
()
Последнее исправление: garik_keghen (всего исправлений: 1)
Ответ на: комментарий от Zhbert

Да, мы все наивны :) Если твой выход в интернет контроллируется ботом, то скоро и твой роутер мржет подчиниться. Но с другой стороны, если провайдер регулярно накатывает обновы, то почему бы и нет? Сколько хомяков заморачивается таким? У них один способ - нажать кнопочку сброса, если интернет тормозить стал. Тут палка о двух концах.

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от R_He_Po6oT

Сколько хомяков заморачивается таким? У них один способ - нажать кнопочку сброса, если интернет тормозить стал.

и какое кол-во пользаков знает об этой кнопке по вашему мнению?

anc ★★★★★
()
Ответ на: комментарий от anc

еще бы не рабочее, проверенный годами и тысячами пользователей vi метод :)

Да, я был таким в первый раз :)

Zhbert ★★★★★
()
Ответ на: комментарий от Zhbert

Да, я был таким в первый раз :)

Я тоже :) Поэтому и пишу что решение точно рабочее :))

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.