Насколько неуязвим Linux?
Наши эксперты проанализировали сложные атаки и APT-кампании, нацеленные на Linux, и дали ряд рекомендаций по защите.
Многие годы бытовало мнение, что под Linux вредоносов нет. Однако в действительности это заблуждение, которое зародилось под действием трех факторов. Во-первых, до недавнего времени Linux был системой для нишевых задач, он был гораздо менее распространен, нежели Windows. Во-вторых, им пользовались в основном IT-профессионалы, которые совершали ошибки реже, чем пользователи. Ну и в-третьих, из-за особенностей архитектуры системы для причинения ущерба вредоносу нужно было как-то получить root-права, что значительно усложняло задачу злоумышленников.
Однако ситуация со временем менялась. Сейчас системы на базе Linux в некоторых сферах догоняют Windows, а кое-где давно обогнали. Кроме того, многие разработчики пытаются сделать свои системы более удобными для конечного пользователя — снабжают их графическими оболочками и инструментами, которые на первый взгляд просто неотличимы от изначально дружелюбных пользователям систем семейства Windows. Это значительно повысило популярность Linux и привлекло больше пользователей, которые были уже не так профессиональны и ошибались чаще. А увеличение популярности и популярность Linux-систем в стратегически важной серверной нише, в свою очередь, привели к тому, что злоумышленники стали уделять этой системе больше внимания.
Да, действительно, мы до сих пор не видели ни одной крупномасштабной эпидемии, которая затрагивала бы машины под управлением систем на базе Linux. Однако операторы целевых и APT-атак все чаще создают инструменты именно под это семейство ОС. Наши коллеги из Global Research and Analysis Team (GReAT) проанализировали сложные угрозы за последние годы и обнаружили, что большинство современных групп злоумышленников всерьез интересуются Linux.
Средства для атак на Linux-системы есть у группировок Winniti (также известная как APT41 или Barium), Cloud Snooper, DarkHotel, Equation, Lazarus, Sofacy, The Dukes, The Lamberts, Turla, WildNeutron и многих других. Кроме того, свои инструменты под Linux разрабатывала и компания HackingTeam. Она разрабатывает ПО для так называемой легальной слежки и продает его правительствам и правоохранительным органам. Несколько лет назад ее взломали, так что теперь разработки компании есть и у киберпреступников. Более подробное описание группировок и их инструментов можно найти в отчете на блоге Securelist.
Краткие рекомендации по защите Linux-систем
Наши эксперты также разработали ряд рекомендаций, которые позволят минимизировать угрозу Linux-системам.
- Создать список доверенных источников ПО под Linux и не допускать установку софта и запуск скриптов, полученных из сторонних источников.
- Не забывать своевременно обновлять используемое ПО, причем следует делать это автоматически и избегать обновлений по нешифруемым каналам.
- Тщательно настроить файрвол: убедиться, что он ведет логи и блокирует все неиспользуемые в работе порты.
- Использовать двухфакторную аутентификацию и применять аппаратные токены.
- Быть готовыми к инсайдерским атакам: использовать шифрование, доверенную загрузку и средства контроля за целостностью аппаратных устройств.
- Периодически проводить аудит систем и проверять логи на индикаторы атак, а также проводить тесты на проникновение.
- Использовать решение для обеспечения безопасности Linux-серверов.
В частности, в состав нашего решения для корпоративной защиты Kaspersky Total Security для бизнеса входят компоненты для защиты почтовых серверов и сетевых шлюзов. Более развернутые рекомендации вы также можете найти в посте на Securelist.
Антивирус Касперского для Linux File Server
Благодаря интеграции с операционной системой, проверка операций, при которых происходит модификация файлов, осуществляется в режиме реального времени. Также возможна антивирусная проверка файловой системы, сменных носителей и отдельных файлов по запросу или по расписанию.
ФУНКЦИИ
Антивирусная проверка и лечение
Обеспечение защиты системы в реальном времени. Приложение осуществляет: перехват обращений к файловой системе; анализ на наличие вредоносного кода файлов, к которым производится доступ; лечение и удаление зараженных объектов или изолирование подозрительных объектов для дальнейшего анализа.
Проверка файловой систему по требованию. Приложение позволяет осуществлять поиск зараженных и подозрительных объектов в заданных областях проверки и в заданное время (а также по команде администратора); их анализ; лечение, удаление или изолирование объектов для дальнейшего анализа.
Карантин. Инфицированные, подозрительные и поврежденные объекты, обнаруженные в файловой системе сервера могут быть перенесены в карантин, где в дальнейшем над ними могут осуществляться какие-либо действия – лечение, удаление и т.п.
Резервное хранилище. Приложение позволяет создавать копии зараженного объекта в резервном хранилище (backup-хранилище) перед его лечением и/или удалением в целях возможного восстановления объекта по требованию, если произошёл сбой при лечении и объект представляет информационную ценность.
Управление и администрирование
Удаленное управление.Настройка работы Антивируса Касперского для Linux File Server может производиться как традиционно – через конфигурационный файл приложения, так и централизованно – через Kaspersky Administration Kit.
Тонкая настройка. Используя политики безопасности и задачи, администратор может настраивать параметры работы приложения для отдельных серверов, объединенных в группы, получать уведомления о событиях в сети, устанавливать лицензионные ключи и пр.
Система уведомлений. При обнаружении вируса и других событиях, сопровождающих работу программы, администратор получит соответствующее уведомление, которое может быть продублировано по электронной почте.
Графические отчеты. Широкий спектр отчетов с желаемым уровнем детализации позволяет администратору получать подробную информацию о состоянии антивирусной защиты и работе программы за определенный период.
Автоматическое обновление баз. Обновление баз сигнатур угроз может производиться по запросу или автоматически по расписанию с серверов «Лаборатории Касперского» в Интернете или с локальных серверов обновлений.
СИСТЕМНЫЕ ТРЕБОВАНИЯ
- Процессор Intel Pentium 133 МГц или выше.
- Объем оперативной памяти не менее 64 МБ.
- Свободное место на диске не менее 100 MБ.
Одна из следующих операционных систем:
- 32-битные платформы:
- Red Hat Enterprise Linux 5.2 server (kernel 2.6.18-92)
- Fedora 9 (kernel 2.6.25)
- SUSE Linux Enterprise Server 10 SP2 (kernel 2.6.16.60-0.21)
- Novel Open Enterprise Server 2 (kernel 2.6.16.46-0.12)
- OpenSUSE Linux 11.0 (kernel 2.6.25)
- Debian GNU/Linux 4.0 r4 (kernel 2.6.24)
- Mandriva Corporate Server 4 (kernel 2.6.12)
- Ubuntu 8.04.1 Server Edition (kernel 2.6.25)
- 64-битные платформы:
- Red Hat Enterprise Linux 5.2 server (kernel 2.6.18)
- Fedora 9 (kernel 2.6.25)
- SUSE Linux Enterprise Server 10 SP2 (kernel 2.6.16.60-0.21)
- OpenSUSE Linux 11.0 (kernel 2.6.25)
Интерпретатор языка Perl версии 5.0 и выше.
Пакет Webmin – для удаленного администрирования.
Kaspersky Administration Agent — для централизованного управления продуктом при помощи Kaspersky Administration Kit.
Установленные пакеты для компиляции программ (gcc, binutils, glibc-devel, make, ld), а также установленный исходный код ядра операционной системы — для использования компонента kavmonitor.
Copyright © 1998 – 2020 SIA Datoru drošības tehnoloģijas
Устанавливаем Kaspersky Anti-Virus for Linux File Server
В последние месяцы меня преследуют проблемы с вирусами на моих файловых серверах. То Nod32 блокирует поддомены, то Касперский вносит сайт в черный список. Меня это никак не может радовать и я принял решение настроить какой нибудь антивирус.
На всех серверах уже установлен и настроен Clam AntiVirus. Его я использовал несколько лет назад, но вирусы класса Trojan-SMS.J2ME он к сожалению не всегда находит.
Изучив результаты Google я толком так ничего и не нашел.
Обращаясь в очередной раз в службу поддержки Касперского с просьбой убрать сайт из списка подозрительных я наткнулся на пунктик kaspersky for linux file server. Его то я и решил протестировать.
Поход в Google за помощью в установке и настройке этого антивируса тоже не дал результата. Все результаты ведут на сайт поддержки Касперского.
Неужели никто не ставил их дистрибутив на своих файловых серверах? Может есть какие то другие решения?
Ответы на эти вопросы для меня останутся тайной. Я остановился на указанном выше продукте и решил его протестировать.
Тестовый файл лицензии запрашиваем на сайте тех поддержки. Ответ приходит через несколько часов.
Приступим к установке
Упс. У нас же amd64. А других дистрибутивов то у Касперского нет. Google тоже не отвечает.
Прокатило :). Пробуем настроить.
Real-time protection меня как бы вообще не интересует. Мне нужно только проверять указанный файл и получать результат проверки.
Пробуем тестовый вирус
Создаем тестовый файл virus с содержимым
И запускаем проверку:
Пробуем на нашем Trojan-SMS.J2ME
Все получилось, наш вирус определяет без проблем. Хотелось бы конечно в результате проверки видеть какой именно вирус, но об этом отпишусь как только мне ответит служба поддержки. В манах эту информацию к сожалению не нашел.
Заключение
Настройка антивируса и тесты прошли успешно. Дальше я займусь проверкой всех своих файловых серверов и настройкой онлайн проверки новых файлов.
Считаю что эта статья будет полезна владельцам сайтов с мобильным контентом, так как именно на таких сайтах можно встретить огромное количество вирусов для мобильных устройств.
Подводные камни
Нигде в интернете и даже на самом сайте Касперского не указано что вы не сможете установить антивирус если у вас нету файла ключа. Странно конечно что установщик предлагает нам продолжить установку без него, но в конце вылетает с ошибкой «обновления баз» без которых дальнейшая установка невозможна.