接上文《针对Linux发起攻击的14个APT组织(上)》

Tsunami后门

Tsunami(又名Kaiten)是一个UNIX后门，自2002年首次在野外被发现以来，被多个攻击者使用。源代码几年前就公开了，现在有70多个变种。源代码可以在各种嵌入式计算机上顺畅地编译，还有针对ARM、MIPS、Sparc和思科4500/PowerPC的版本。Tsunami仍然是基于linux的路由器、DVR和不断增加的物联网计算机的攻击。2016年，Linux Mint黑客使用了Tsunami的变体，其中一个未知的攻击因素破坏了Linux Mint发行版ISO，使其包含后门。研究人员还观察到使用Tsunami后门以精确攻击方式针对Linux上的许多加密货币用户。

Turla

长期以 Windows 用户为侵袭目标的恶意软件“Turla”(也被称为 Snake 或 Uroboros)，2017年Turla将其触角伸向了 Mac 用户，并伪装成一个 Adobe Flash 安装器程序，令用户上当受骗。据安全网站 Malwarebytes 的报道，更新后的代码让Snake 伪装成为一个 Adobe Flash 安装器程序，并打包在一个名为“Install Adobe Flash Player.app.zip”的 ZIP 压缩文件中。运行该压缩文件，安装程序的签名将改为“Addy Symonds”而不是 Adobe。 目前Mac 电脑所引入的 Gatekeeper 的安全技术，可以保证用户安装拥有开发者签名的应用，防止一些外来的恶意软件。苹果已经撤销了这一伪装证书。

Turla的与其他APT组织一样，多年来对其工具集进行了重大更改。直到2014年，研究人员看到的Turla使用的所有恶意软件样本都是为32位或64位版本的Windows设计的。

然后在2014年12月，研究人员发表了关于Penguin Turla的报告，这是Turla库中的一个Linux组件。这是一个秘密后门，不需要提高特权，即管理员或root权限。即使对系统有有限访问权限的人启动它，后门也可以拦截进入的数据包，并运行来自攻击者对系统的命令。它也很难被发现，因此，如果将其安装在受感染的服务器上，它可能会长时间呆在那里。对Penguin Turla的进一步研究表明，其起源可以追溯到1990年代中期的Moonlight Maze行动。今年5月，来自Leonardo的研究人员发表了有关Penguin_x64的报告，Penguin_x64是Penguin Turla Linux后门的先前未记录的变体。根据此报告，研究人员生成了可大规模检测Penquin_x64感染主机的网络探针，使研究人员能够在2020年7月之前在欧洲和美国发现几十个受感染服务器。研究人员相信，根据GNU/Linux工具的公开文档，Turla可能已经对Penguin进行了改造，使其能够执行传统情报收集之外的操作。

TwoSail Junk

2020年1月10日研究人员发现名为LightSpy的恶意软件，攻击网站页面内容是针对香港用户设计的，研究人员暂时命名该APT组织“TwoSail Junk”。尽管在公开的报道中，研究人员认为TwoSail Junk 的公开目标是针对iOS的，但根据跟踪分析， TwoSail Junk也可能支持Windows, Linux。

全新的WellMess木马

7月16日，美国网络安全和基础设施安全局(CISA)，英国国家网络安全中心(NCSC)，加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合报告，称APT29组织使用WellMess系列工具针对美国、英国和加拿大的新冠病毒研究和疫苗研发相关机构发动攻击。值得注意的是，报告中该重点提及的“WellMess”正是一例全新APT组织，2019年360安全大脑就已捕获并发现了WellMess组织一系列的APT攻击活动，并将其命名为“魔鼠”，单独编号为APT-C-42。更为惊险的是，360安全大脑披露，从2017年12月开始，WellMess组织便通过网络渗透和供应链攻击作战之术，瞄准国内某网络基础服务提供商，发起了定向攻击。

从2020年3月开始，卡巴斯基实验室的研究人员开始积极跟踪与恶意软件WellMess相关的新C2服务器，这意味着潜在的大规模新活动之前就已经开始了。该恶意软件最初是在2018年7月就已经被JPCERT发现，从那以后就偶尔活跃起来。根据追踪分析，WellMess可能与CozyDuke(又名APT29)有关，目前攻击者的活动主要集中在医疗保健行业，尽管研究人员无法证实这两种说法。WellMess是一种用.NET和Go(Golang)编写的远程访问木马，可以交叉编译以与Windows和Linux兼容。

WildNeutron

2015年，研究人员与赛门铁克合作发表了关于WildNeutron的研究报告，他们称其为Morpho或Butterfly。该组织因2012-2013年对Twitter、微软(Microsoft)、苹果(Apple)和Facebook的攻击而声名鹊起，是研究人员所见过的最难以捉摸、最神秘、最活跃的组织之一。他们的工具库包括许多有趣和创新的工具，例如LSA后门或IIS插件，以及基于零日的和物理部署。不出所料，在一些已知的攻击中，WildNeutron也使用了一个自定义的Linux后门。早在2013年，卡巴斯基实验室就曾发现该黑客组织(又被称为“Jripbot”和“Morpho”)对多个知名公司发动了攻击，包括苹果公司、Facebook、Twitter和微软公司。在攻击事件曝光后，该黑客组织沉寂了近一年时间，此后于2013年末和2014年初继续开始攻击，并且持续到2015年。攻击者使用了零日漏洞、多平台恶意软件以及其它多种攻击技巧，所以，卡巴斯基实验室研究人员认为这是一个实力强大的网络间谍攻击组织，其发动攻击的目的可能是出于经济原因。

Zebrocy APT组织

卡巴斯基实验室的研究人员表示，Zebrocy APT组织不断更新其恶意软件，这使得防御其攻击变得越来越难。Zebrocy是自定义恶意软件，研究人员从2015年开始跟踪。使用该恶意软件的组织最初是Sofacy 的一个独立的子团队，但与其他APT组织也有相似之处和重叠之处。该组织已经开发了多种语言的恶意软件，包括Delphi，AutoIT，.NET，C#，PowerShell和Go。 Zebrocy主要针对国内和偏远地区的中亚政府相关组织。该组织广泛使用鱼叉式网络钓鱼来破坏Windows端点。但是，它的后门配置为通过端口80与IP分配的Web服务器主机直接通信。并且该组织似乎更喜欢Linux作为其基础架构的一部分，特别是在Debian Linux上运行的Apache 2.4.10。

保护Linux系统的建议

Linux系统不受保护的主要原因之一是使用Linux而不是更流行(也更有针对性)的Windows会产生一种错误的安全感。尽管如此，研究人员希望通过本文足以让你开始认真地保护基于linux的计算机。

第一个建议是维护软件的可信来源列表，就像Android或iOS应用推荐的方法一样，只安装官方存储库中的应用程序。在Linux系统中，研究人员享受更多的自由，例如，即使你在使用Ubuntu，你也不会被限制在Canonical自己的存储库中。任何.DEB文件，甚至GitHub上的应用程序源代码都可以为你服务。但是请明智地选择这些来源，不要盲目地遵循“从我们的服务器运行此脚本以进行安装”之类的说明。

还请注意从这些受信任存储库获取应用程序的安全方式，更新应用程序的渠道必须使用HTTPS或SSH协议加密。除了你对软件资源及其传播渠道的信任之外，及时地进行更新也非常重要。大多数现代Linux版本都可以为你完成这一点，但是一个简单的cron脚本将帮助你保持更多的保护，并在开发人员发布修补程序后立即获取所有修补程序。

其次研究人员建议检查与网络相关的设置，使用像“netstat -a”这样的命令，你可以过滤掉你主机上所有不必要的打开端口。请避免使用你不需要或不使用的网络应用程序，以最大程度地减少网络耗用空间。另外，强烈建议你从Linux发行版中正确设置防火墙，以过滤流量并存储主机的网络活动。最好不要直接上网，而要通过NAT上网。

为了继续执行与网络相关的安全规则，研究人员建议至少使用密码保护本地存储的SSH密钥(用于网络服务)。在更多的“偏执”模式下，你甚至可以将密钥存储在外部受保护的存储中，例如来自任何受信任供应商的令牌。在连接的服务器端，如今，为SSH会话设置多因素身份验证并不困难，例如发送给你手机的消息或其他机制(例如身份验证器应用)。

这样，研究人员的建议涵盖了软件来源、应用程序传播渠道、避免不必要的网络耗用和加密密钥的保护。对于监控在文件系统级别找不到的攻击，研究人员推荐的另一个方法是保存和分析网络活动日志。

作为攻击模型的一部分，你需要考虑以下可能性：尽管采取了上述所有措施，攻击者仍可能破坏你的保护。考虑到攻击者对系统的持久性，请考虑下一步的保护措施。他们可能会进行更改，以便能够在系统重新引导后自动启动木马。因此，你需要定期监控主要配置文件以及系统二进制文件的完整性，以防文件病毒感染。上面提到的用于监控网络通信的日志在此处完全适用：Linux审核系统收集系统调用和文件访问记录，诸如“osquery”之类的其他守护程序也可以用于同一任务。

最后计算机的物理安全性也很重要，如果你的笔记本电脑最终落入攻击者之手，而你没有采取措施保护它不受此攻击环境的攻击，则后果就不可想象了。为了物理安全性，应该考虑全磁盘加密和安全引导机制。

具有Linux安全性的专用解决方案可以简化保护任务，Web威胁防护可以检测到恶意网站和网络钓鱼网站，网络威胁防护可检测传入流量中的网络攻击，行为分析可以检测到恶意活动，而设备控制则可以管理连接的设备并对其进行访问。

研究人员的最终建议与Docker有关，这不是理论上的威胁：Docker的感染是一个非常现实的问题。Docker本身并不能提供安全性。一些Docker与主机之间是完全隔离的，但并不是所有的网络和文件系统接口都存在于其中，而且在大多数情况下，在物理环境和Docker环境之间存在着某种连接。

因此，你可以使用允许在开发过程中添加安全性的安全解决方案。Kaspersky Hybrid Cloud Security包括集成CI/CD平台，如Jenkins，通过脚本扫描Docker映像在不同阶段的恶意元素。

为了防止供应链攻击，可以使用Docker、映像以及本地和远程存储库的On-Access扫描(OAS)和按需扫描(ODS)。名称空间监控、灵活的基于掩码的扫描范围控制和扫描Docker的不同层的能力有助于实施最安全的防护措施。

请记住，除了应用研究人员提到的所有措施外，你还应该定期审计和检查所有生成的日志和任何其他消息。否则你可能会错过被攻击的迹象。

最后如果你是一个专业安全人员，可以不时地进行系统渗透测试。

总结

• 构建一个受信任的软件源列表，避免使用未加密的更新通道;
• 不要从不可信的源运行二进制文件和脚本;
• 确保你的更新程序是有效的;
• 设置自动安全更新;
• 多花点精力正确地设置防火墙，以确保它记录网络活动，阻止所有你不用的端口，最小化你的网络耗用;
• 使用基于密钥的SSH身份验证，用密码保护密钥;
• 使用2FA并将敏感密钥存储在外部令牌计算机(如Yubikey)上;
• 使用带外网络tap独立地监控和分析Linux系统的网络通信;
• 维护系统可执行文件的完整性;
• 定期检查配置文件的更改;
• 为内部/物理攻击做好准备：使用全磁盘加密、可信/安全引导并在关键硬件上安装明显篡改的安全磁盘;
• 审核系统，检查日志中的攻击兆头;
• 在Linux设置上运行渗透测试;
• 使用具有web和网络保护的Linux专用安全解决方案，以及DevOps保护功能;

本文翻译自：https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/