Perangkat lunak jahat yang menargetkan sistem Linux berkembang, sebagian besar karena banyaknya perangkat yang dibuat untuk terhubung ke Internet of Things.

Itu adalah salah satu temuan dalam laporan WatchGuard Technologies , pembuat peralatan keamanan jaringan, yang dirilis minggu lalu.

Laporan, yang menganalisis data yang dikumpulkan dari lebih dari 26.000 peralatan di seluruh dunia, menemukan tiga program malware Linux di 10 teratas untuk kuartal pertama tahun ini, dibandingkan dengan hanya satu selama periode sebelumnya.

“Serangan dan malware Linux sedang meningkat,” tulis WatchGuard CTO Corey Nachreiner dan Analis Ancaman Keamanan Marc Laliberte, rekan penulis laporan itu. “Kami percaya ini adalah karena kelemahan sistemik dalam perangkat IoT, dipasangkan dengan pertumbuhannya yang cepat, mengarahkan penulis botnet ke platform Linux.”

Namun, “memblokir Telnet masuk dan SSH, bersama dengan menggunakan kata sandi administratif yang kompleks, dapat mencegah sebagian besar serangan potensial,” mereka menyarankan.

New Avenue untuk Peretas

Malware Linux mulai tumbuh pada akhir tahun lalu dengan botnet Mirai, diamati Laliberte. Mirai membuat percikan pada bulan September ketika digunakan untuk menyerang bagian dari infrastruktur Internet dan menjatuhkan jutaan pengguna secara offline.

“Sekarang, dengan perangkat IoT meroket, jalan baru terbuka bagi penyerang,” katanya kepada Linuxstandard. “Kami percaya bahwa peningkatan yang kami lihat di Linux malware berjalan seiring dengan target baru di Internet.”

Pembuat perangkat IoT belum menunjukkan banyak perhatian tentang keamanan, Laliberte melanjutkan. Tujuan mereka adalah membuat perangkat mereka berfungsi, membuatnya murah, dan membuatnya dengan cepat.

“Mereka benar-benar tidak peduli dengan keamanan selama proses pengembangan,” katanya.

Pengejaran Trivial

Sebagian besar produsen IoT menggunakan versi Linux yang dipreteli karena sistem operasi memerlukan sumber daya sistem minimal untuk beroperasi, kata Paul Fletcher, penginjil cybersecurity di Alert Logic .

“Ketika Anda menggabungkan itu dengan sejumlah besar perangkat IoT yang terhubung ke Internet, itu sama dengan volume besar sistem Linux online dan tersedia untuk serangan,” katanya kepada Linux standard.

Dalam keinginan mereka untuk membuat perangkat mereka mudah digunakan, produsen menggunakan protokol yang juga mudah digunakan untuk peretas.

“Penyerang dapat memperoleh akses ke antarmuka yang rentan ini, lalu mengunggah dan mengeksekusi kode berbahaya pilihan mereka,” kata Fletcher.

Produsen sering memiliki pengaturan default yang buruk untuk perangkat mereka, ia menunjukkan.

“Seringkali, akun admin memiliki kata sandi kosong atau kata sandi default mudah-menebak, seperti ‘password123,'” kata Fletcher.

Masalah keamanan sering “tidak ada yang spesifik dari Linux,” kata Johannes B. Ullrich, kepala peneliti di SANS Institute .

“Pabrikan itu acuh pada bagaimana mereka mengkonfigurasi perangkat, sehingga mereka membuatnya sepele untuk mengeksploitasi perangkat ini,” katanya kepada linuxstandard.net.

Perangkat lunak perusak di Top 10

Program malware Linux ini memecahkan 10 teratas dalam penghitungan WatchGuard untuk kuartal pertama:

Linux / Exploit, yang menangkap beberapa trojan berbahaya yang digunakan untuk memindai sistem untuk perangkat yang dapat terdaftar menjadi botnet.

Linux / Downloader, yang menangkap skrip shell Linux jahat. Linux berjalan di banyak arsitektur yang berbeda, seperti ARM, MIPS dan chipset x86 tradisional. Sebuah executable yang dikompilasi untuk satu arsitektur tidak akan berjalan pada perangkat yang menjalankan yang berbeda, laporan itu menjelaskan. Dengan demikian, beberapa serangan Linux mengeksploitasi skrip pipet untuk mengunduh dan memasang komponen berbahaya yang tepat untuk arsitektur yang mereka infeksikan.

Linux / Flooder, yang menangkap alat bantu-denial-of-service Linux, seperti Tsunami, digunakan untuk melakukan serangan amplifikasi DDoS, serta alat-alat DDoS yang digunakan oleh botnet Linux seperti Mirai. “Seperti yang diperlihatkan Mirai botnet, perangkat IoT berbasis Linux adalah target utama untuk botnet,” tulis laporan itu.

Web Server Battleground

Pergeseran dalam bagaimana musuh menyerang Web telah terjadi, catatan laporan WatchGuard.

Pada akhir 2016, 73 persen serangan Web menargetkan klien – browser dan perangkat lunak pendukung, perusahaan itu menemukan. Itu berubah secara radikal selama tiga bulan pertama tahun ini, dengan 82 persen serangan Web terfokus pada server Web atau layanan berbasis web.

“Kami tidak berpikir serangan gaya unduh drive-by akan hilang, tetapi tampaknya para penyerang telah memfokuskan upaya dan alat mereka untuk mencoba mengeksploitasi serangan server Web,” tulis rekan penulis laporan Nachreiner dan Laliberte.

Sudah ada penurunan efektivitas perangkat lunak antivirus sejak akhir 2016, mereka juga menemukan.

“Untuk kuartal kedua berturut-turut, kami telah melihat solusi AV warisan kami kehilangan banyak malware yang dapat diatasi oleh solusi kami yang lebih canggih. Bahkan, itu telah meningkat dari 30 persen menjadi 38 persen,” Nachreiner dan Laliberte melaporkan.

“Saat ini, penjahat cyber menggunakan banyak trik halus untuk mengemas kembali malware mereka sehingga menghindarkan deteksi berbasis tanda tangan,” kata mereka. “Inilah sebabnya mengapa begitu banyak jaringan yang menggunakan AV dasar menjadi korban ancaman seperti ransomware.”