ULKM против атак на Linux-серверы

Что общего у атак UNC5221, в которых злоумышленники более года шпионили за IT-компаниями и юридическими фирмами, эпидемии майнера Dero, поражающего контейнеры Docker, и шифрования кластера ESXi, принадлежащего казино MGM Resorts? Все эти атаки демонстрируют значительный интерес злоумышленников к Linux-инфраструктуре современного бизнеса. Почти 90% публично доступных серверов в Интернете работают на базе Linux, а общая доля Linux на рынке всех серверов превышает 62%. Это дает атакующим широкое поле деятельности. А ситуация с защитой Linux-сред оставляет желать лучшего. Чтобы защищать Linux-серверы эффективно, нужны производительные EPP- и EDR-решения с широким доступом к событиям в системе. Именно этого нам удалось добиться с помощью технологии Universal Linux Kernel Module, которая помогла закрыть разрыв между возможностями атаки и защиты. Итак, давайте рассмотрим, как атакуют Linux и как этому противостоять?

Уязвимости Linux-приложений

Из-за разнообразия сборок Linux за уязвимостями ОС и приложений под нее сложнее следить, да и оценивать влияние конкретной уязвимости на инфраструктуру компании тоже не так просто. Отдельную сложность представляет собой и сама установка патчей. Многие Linux-серверы являются критичными для бизнеса высоконагруженными системами, поэтому планировать их приостановку для обновления сложнее. В результате устранение Linux-уязвимостей во многих организациях систематизировано гораздо хуже, чем патчинг Windows.

Доступные из Интернета серверы, работающие на базе Linux, будут одной из первых точек, через которую атакующие попытаются взломать компанию. По данным сервиса Kaspersky Incident Response, уязвимости в публично доступных приложениях стали первопричиной 39% состоявшихся инцидентов — уверенное первое место среди векторов начального проникновения в компанию. Разнообразие способов, которые злоумышленники будут пробовать для входа в организацию, тоже растет: в 2024 году число обнаруженных Linux-уязвимостей резко выросло на целых 967%. И, по наблюдениям наших экспертов, продолжает расти в 2025 году.

В числе недавних резонансных уязвимостей, которые эксплуатируются в реальных кибератаках: CVE-2025-31161 в файл-сервере CrushFTP, приводящая к захвату административной учетной записи, CVE-2024-53104, используемая для повышения привилегий, CVE-2025-32463 в утилите sudo, позволяющая любому непривилегированному пользователю повысить права до root.

Недостаточная защита серверов Linux

Несмотря на растущие риски, Linux-серверы часто остаются без защиты EPP и EDR. Причины для этого различны:

• в высоконагруженных серверных средах организации опасаются падения производительности из-за дополнительно установленной на сервер защиты EPP;
• EDR-агенты требуют тонкой настройки для работы на сервере, чтобы балансировать количество и глубину телеметрии с производительностью сервера;
• IT-администрация некоторых организаций по инерции считает, что Linux-среды не подвержены атакам и достаточно защищены встроенными механизмами вроде SELinux;
• многие специализированные устройства (appliance), такие как межсетевые экраны или серверы виртуализации, являются по сути Linux-серверами, но с ограниченными функциями администрирования и полной невозможностью развернуть на них дополнительное защитное ПО;
• иногда возникают проблемы совместимости конкретного решения EPP/EDR с конкретной сборкой Linux и версией ядра. При этом возможны значительные, на десятки процентов, просадки производительности или повышение числа сбоев сервера.

Узкие места защиты Linux

На Linux-системах традиционно используются встроенные механизмы защиты, такие как SELinux/AppArmor (права доступа для приложений), iptables/nftables (файрвол), Auditd (журналирование и аудит). Эти инструменты обеспечивают «базовую гигиену», но в основном ориентированы на статические политики и реактивные меры, а не на адаптивное выявление сложных угроз. В 2025 году злоумышленники используют в атаках на Linux полный набор продвинутых техник: бесфайловое (fileless) ВПО, инструменты Living-off-the-Land, эксплойты для повышения привилегий, руткиты, инструменты отключения защитных решений. Причем делают это не единичные «сложные» APT, а практически любые группы злоумышленников: операторы ransomware, организаторы майнинговых и DDoS-ботнетов, создатели сетей фишинговых сайтов. Эволюцию угроз хорошо иллюстрирует обнаруженный в дикой природе в этом году бэкдор Plague: он реализован в виде вредоносного PAM (Pluggable Authentication Module), удаляет в журналах следы своей работы, снабжен целой батареей защитных мер против отладки и детектирования, позволяет атакующим получить постоянный доступ по SSH к атакованному хосту в обход обычных средств аутентификации и выполнять на нем произвольные команды.

Такой ландшафт угроз делает встроенную защиту Linux недостаточной — нужны современные решения класса EDR/XDR. Исторически решения EPP и EDR опираются на стандартные механизмы Linux для получения событий безопасности и их обработки. Два основных инструмента тут — это Auditd, доступный из пользовательского пространства компонент Linux Auditing System, и eBPF — технология, позволяющая безопасно запускать пользовательский код внутри ядра для высокопроизводительного мониторинга и фильтрации событий.

Auditd прекрасно документирован и обладает широчайшей совместимостью, но при этом имеет достаточно неприятные функциональные ограничения. Для того, чтобы гарантированно получать все события защитное решение должно использовать Auditd в монопольном режиме. Это не всегда приемлемо, поскольку зачастую в инфраструктуре компании работает несколько систем, которым необходимо собирать какую-либо телеметрию с linux-машин. В теории Auditd может работать в режиме немонопольного использования, но в этом случае, во-первых, нельзя гарантировать доставку событий, а во-вторых, не получится разделить потоки событий для разных подписчиков — все события будут передаваться всем заинтересованным системам. В итоге, например, при параллельной работе EDR и SIEM, события, собираемые EDR будут перегружать не готовую к такому количеству событий SIEM.

Использование eBPF не имеет подобных ограничений, но его реализация отличается в разных ядрах и сборках Linux, поэтому с сенсорами на базе eBPF нередки проблемы совместимости. В принципе полноценная поддержка eBPF появилась давно, в ядре 4.4, но нюансов здесь столько же, сколько сборок Linux.

Поэтому радикальное улучшение защиты Linux-серверов требует нового подхода к реализации EDR.

Защита из ядра

Чтобы сочетать высокую производительность и широкую функциональность EPP и EDR, в Kaspersky Endpoint Security for Linux внедрена принципиально новая технология Universal Linux Kernel Module. Она позволяет защитному решению обрабатывать события безопасности через собственный драйвер уровня ядра — и Linux-серверы получают принципиально новый уровень защиты.

В первую очередь на Linux-системах появляется запатентованная защита от эксплуатации уязвимостей — Automatic Exploit Prevention. Защитное решение при помощи драйвера UKLM анализирует подозрительные события, такие как запуск системными приложениями нетипичных дочерних процессов, и приостанавливает их. Это закрывает одну из самых серьезных проблем безопасности Linux и снижает остроту вопроса с патчингом серверов.

Благодаря ULKM значительно повышается эффективность интеграции с XDR. Драйвер уровня ядра позволяет собирать с серверов подробную телеметрию, значительно увеличивая видимость событий безопасности для SOC и ускоряя реагирование на инциденты. На серверах защитникам становятся заметны реализация техник LotL, подозрительные файловые операции и многое другое.

При этом влияние нашего защитного решения Kaspersky Endpoint Security for Linux c поддержкой ULKM на производительность системы в зависимости от конфигурации сервера снижается в 20 (!) и более раз по сравнению с предыдущими версиями продукта.

В следующей версии Kaspersky Endpoint Security for Linux (12.4, ее релиз намечен на конец декабря этого года) благодаря использованию ULKM получится отказаться от использования глобальных исключений. Сейчас в продукте в качестве поставщика событий безопасности для работы антивируса используется системный механизм fa_notify, имеющий неудобное системное ограничение — для того, чтобы полностью исключить какие-то области файловой системы из антивирусного мониторинга (например, по соображениям производительности или совместимости с каким-то сторонним ПО), эти области должны быть сконфигурированы как точки монтирования.

Такой подход очевидно неудобен для заказчика: все области, которые необходимо исключить, придется непосредственно на хосте переконфигурировать в точки монтирования, после чего явно прописать их в нашем защитном решении как исключения. Это очень неудобно, и подразумевает большие объемы ручной работы системного администратора, поскольку точки монтирования на разных хостах как правило разные.

Если же в системе будет включен ULKM, то от переконфигурации областей исключения в точки монтирования можно будет отказаться. Процесс настройки исключений очень сильно упростится: достаточно определить, какие области надо исключить, задать их в политике Kaspersky Endpoint Security for Linux и удаленно раскатать ее на нужные машины.

Воспользоваться преимуществами технологии можно, включив ее в Kaspersky Security Center Linux. О том, как это сделать легче всего, можно прочитать на нашем сайте поддержки.