Что общего у атак UNC5221, в которых злоумышленники более года шпионили за IT-компаниями и юридическими фирмами, эпидемии майнера Dero, поражающего контейнеры Docker, и шифрования кластера ESXi, принадлежащего казино MGM Resorts? Все эти атаки демонстрируют значительный интерес злоумышленников к Linux-инфраструктуре современного бизнеса. Почти 90% публично доступных серверов в Интернете работают на базе Linux, а общая доля Linux на рынке всех серверов превышает 62%. Это дает атакующим широкое поле деятельности. А ситуация с защитой Linux-сред оставляет желать лучшего. Чтобы защищать Linux-серверы эффективно, нужны производительные EPP- и EDR-решения с широким доступом к событиям в системе. Именно этого нам удалось добиться с помощью технологии Universal Linux Kernel Module, которая помогла закрыть разрыв между возможностями атаки и защиты. Итак, давайте рассмотрим, как атакуют Linux и как этому противостоять?
Уязвимости Linux-приложений
Из-за разнообразия сборок Linux за уязвимостями ОС и приложений под нее сложнее следить, да и оценивать влияние конкретной уязвимости на инфраструктуру компании тоже не так просто. Отдельную сложность представляет собой и сама установка патчей. Многие Linux-серверы являются критичными для бизнеса высоконагруженными системами, поэтому планировать их приостановку для обновления сложнее. В результате устранение Linux-уязвимостей во многих организациях систематизировано гораздо хуже, чем патчинг Windows.
Доступные из Интернета серверы, работающие на базе Linux, будут одной из первых точек, через которую атакующие попытаются взломать компанию. По данным сервиса Kaspersky Incident Response, уязвимости в публично доступных приложениях стали первопричиной 39% состоявшихся инцидентов — уверенное первое место среди векторов начального проникновения в компанию. Разнообразие способов, которые злоумышленники будут пробовать для входа в организацию, тоже растет: в 2024 году число обнаруженных Linux-уязвимостей резко выросло на целых 967%. И, по наблюдениям наших экспертов, продолжает расти в 2025 году.
В числе недавних резонансных уязвимостей, которые эксплуатируются в реальных кибератаках: CVE-2025-31161 в файл-сервере CrushFTP, приводящая к захвату административной учетной записи, CVE-2024-53104, используемая для повышения привилегий, CVE-2025-32463 в утилите sudo, позволяющая любому непривилегированному пользователю повысить права до root.
Недостаточная защита серверов Linux
Несмотря на растущие риски, Linux-серверы часто остаются без защиты EPP и EDR. Причины для этого различны:
- в высоконагруженных серверных средах организации опасаются падения производительности из-за дополнительно установленной на сервер защиты EPP;
- EDR-агенты требуют тонкой настройки для работы на сервере, чтобы балансировать количество и глубину телеметрии с производительностью сервера;
- IT-администрация некоторых организаций по инерции считает, что Linux-среды не подвержены атакам и достаточно защищены встроенными механизмами вроде SELinux;
- многие специализированные устройства (appliance), такие как межсетевые экраны или серверы виртуализации, являются по сути Linux-серверами, но с ограниченными функциями администрирования и полной невозможностью развернуть на них дополнительное защитное ПО;
- иногда возникают проблемы совместимости конкретного решения EPP/EDR с конкретной сборкой Linux и версией ядра. При этом возможны значительные, на десятки процентов, просадки производительности или повышение числа сбоев сервера.
Узкие места защиты Linux
На Linux-системах традиционно используются встроенные механизмы защиты, такие как SELinux/AppArmor (права доступа для приложений), iptables/nftables (файрвол), Auditd (журналирование и аудит). Эти инструменты обеспечивают «базовую гигиену», но в основном ориентированы на статические политики и реактивные меры, а не на адаптивное выявление сложных угроз. В 2025 году злоумышленники используют в атаках на Linux полный набор продвинутых техник: бесфайловое (fileless) ВПО, инструменты Living-off-the-Land, эксплойты для повышения привилегий, руткиты, инструменты отключения защитных решений. Причем делают это не единичные «сложные» APT, а практически любые группы злоумышленников: операторы ransomware, организаторы майнинговых и DDoS-ботнетов, создатели сетей фишинговых сайтов. Эволюцию угроз хорошо иллюстрирует обнаруженный в дикой природе в этом году бэкдор Plague: он реализован в виде вредоносного PAM (Pluggable Authentication Module), удаляет в журналах следы своей работы, снабжен целой батареей защитных мер против отладки и детектирования, позволяет атакующим получить постоянный доступ по SSH к атакованному хосту в обход обычных средств аутентификации и выполнять на нем произвольные команды.
Такой ландшафт угроз делает встроенную защиту Linux недостаточной — нужны современные решения класса EDR/XDR. Исторически решения EPP и EDR опираются на стандартные механизмы Linux для получения событий безопасности и их обработки. Два основных инструмента тут — это Auditd, доступный из пользовательского пространства компонент Linux Auditing System, и eBPF — технология, позволяющая безопасно запускать пользовательский код внутри ядра для высокопроизводительного мониторинга и фильтрации событий. Auditd прекрасно документирован и имеет широчайшую совместимость, но если собирать с его помощью все события, нужные для EDR, это может негативно сказаться на производительности сервера. Также разные защитные решения и другие системы мониторинга могут конкурировать за подписку на события аудита и создавать проблемы в системе. В итоге даже компании, развернувшие EPP/EDR на сервере, вынуждены прописывать широкие исключения в правилах мониторинга, чтобы сохранить приемлемую производительность.
Использование eBPF не оказывает такого влияния на производительность, но его реализация отличается в разных ядрах и сборках Linux, поэтому с сенсорами на базе eBPF нередки проблемы совместимости. В принципе полноценная поддержка eBPF появилась давно, в ядре 4.4, но нюансов здесь столько же, сколько сборок Linux.
Поэтому радикальное улучшение защиты Linux-серверов требует нового подхода к реализации EDR.
Защита из ядра
Чтобы сочетать высокую производительность и широкую функциональность EPP и EDR, в Kaspersky Endpoint Security for Linux внедрена принципиально новая технология Universal Linux Kernel Module. Она позволяет защитному решению обрабатывать события безопасности через собственный драйвер уровня ядра — и Linux-серверы получают принципиально новый уровень защиты.
В первую очередь на Linux-системах появляется запатентованная защита от эксплуатации уязвимостей — Automatic Exploit Prevention. Защитное решение при помощи драйвера UKLM анализирует подозрительные события, такие как запуск системными приложениями нетипичных дочерних процессов, и приостанавливает их. Это закрывает одну из самых серьезных проблем безопасности Linux и снижает остроту вопроса с патчингом серверов.
Благодаря ULKM становится возможной интеграция с XDR. Драйвер уровня ядра позволяет собирать с серверов подробную телеметрию, значительно увеличивая видимость событий безопасности для SOC и ускоряя реагирование на инциденты. На серверах защитникам становятся заметны реализация техник LotL, подозрительные файловые операции и многое другое.
При этом влияние нашего защитного решения Kaspersky Endpoint Security for Linux c поддержкой ULKM на производительность системы в зависимости от конфигурации сервера снижается в 20 (!) и более раз по сравнению с предыдущими версиями продукта. Воспользоваться преимуществами технологии можно, включив ее в Kaspersky Security Center Linux. О том, как это сделать легче всего, можно прочитать на нашем сайте поддержки.
Бизнес — Блог Касперского
