微软安全软件Defender ATP 正式支持Linux

在推出预览版几个月后,微软正式发布了适用于Linux的Microsoft Defender ATP安全软件。同时还发布了适用于Android的Microsoft Defender ATP预览版。

当前,Microsoft Defender ATP for Linux 总共支持六种不同的服务器发行版,具体如下:

RHEL 7.2+

CentOS Linux 7.2+

Ubuntu 16 LTS 或更高版本

SLES 12+

Debian 9+

Oracle Linux 7.2

用户可以使用 Puppet、Ansible 或现有的 Linux 配置管理工具来进行部署和配置。

微软称,新的防病毒软件可以在客户端上提供完整的命令行体验,但是管理员需要知道的是,为 Linux 安装 Microsoft Defender ATP 需要服务器的 Microsoft Defender ATP 许可证。

微软计划为Linux上的Microsoft Defender ATP带来多项新功能。且在不久以后发布更多有关Linux的安全公告。

附注:微软 Defender ATP 是什么?

如果你过去几年使用过 Windows,那么你一定遇到过 Windows Defender。它是微软的防病毒产品,通过检测病毒和恶意软件来提供一定程度的安全性。

微软通过引入 Windows Defender ATP(高级威胁防护)为企业用户改进了此功能。

Defender ATP 致力于异常行为分析的告警和拦截。它会注意用户的使用习惯,当发现与平时不一致的行为时,它将把可疑信息发送到自己的 Azure(微软的云服务)做进一步分析。

例如,如果你收到一封包含 PDF 附件的电子邮件,且在打开时触发了命令提示符,Defender ATP 就会注意到此异常行为。

现在这已经完全是一个企业级产品。在具有成千上万个端点(计算机)的大型企业中,Defender ATP 提供了很好的保护。IT 管理员可以在其 Azure 实例上集中查看端点的视图,可以分析威胁并采取相应措施。

新款Linux病毒心机重 入侵后先袭中国安全软件

俄罗斯杀毒软件公司 Dr.Web 在近期发现了被称为 Linux.BtcMine.174 的木马,比传统的恶意程序更复杂,包含了大量恶意功能。

它本身是一个巨大的 shell 脚本,有超过 1000 行代码,感染之后的第一件事是寻找具有写入权限的目录,将自己拷贝进去,然后下载更多恶意模块。

如果发现系统缺乏相关组件,还会自行安装。

之后它会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个漏洞之一进行提权。

在获取 root 权限之后,木马会将自己设为本地守护进程。

在这个过程中,病毒将查找 Linux 系统上的杀毒软件进程名称,并将其关闭,查找对象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 与 xmirrord。

一切准备就绪之后,木马将执行其最主要的功能——对加密货币进行挖矿。

此外,木马还会下载并运行其它恶意软件,比如Linux.BackDoor.Gates.9木马。这类后门允许执行网络罪犯发出的命令,执行DDoS攻击。

最后,该木马会收集受感染主机信息,并通过 SSH 连接将自身传播到更多的系统。

如果你需要Linux.BtcMine的SHA1文件散列,可以访问:

https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174

IoT前哨站:safedog(安全狗)、aegis(安骑士)、yunsuo(云锁),这三款都是中国的安全软件,而且国内用户很多,该病毒上来先关这三个软件,不知道是忌惮中国的安全技术,还是冲着中国用户来的。

如果是后者,那各位同胞要做好防黑准备了,肯定还会有下一波进攻。毕竟这个病毒作者信奉的可是:“Audentes fortuna iuvat”。