Чем связаны операции UNC5221, когда хакеры больше года следили за IT-компаниями и юридическими бюро, вспышка майнера Dero, атакующего Docker-контейнеры, и шифрование ESXi-кластера казино MGM Resorts? Все эти случаи показывают растущий интерес злоумышленников к Linux-инфраструктуре предприятий. Около 90% публичных интернет-серверов используют Linux, а доля этой ОС на общем серверном рынке превышает 62%. Это создаёт огромное поле для атак. При этом уровень защиты Linux-систем часто недостаточен. Для эффективной обороны требуются мощные EPP/EDR-решения с глубоким доступом к системным событиям. Этого удалось достичь с технологией Universal Linux Kernel Module, устранившей разрыв между возможностями атакующих и защитников. Давайте разберёмся в современных угрозах для Linux и методах противодействия им.
Проблемы безопасности в Linux-приложениях
Многообразие дистрибутивов Linux усложняет отслеживание уязвимостей в ОС и ПО: оценка их влияния на инфраструктуру требует больших усилий. Патчинг также представляет трудности — критически важные серверы с высокой нагрузкой сложно останавливать для обновлений. В итоге процесс закрытия уязвимостей в Linux часто менее систематизирован, чем в Windows-средах.
Доступные извне Linux-серверы — первая цель для злоумышленников. Согласно данным Kaspersky Incident Response, уязвимости в публичных приложениях стали первопричиной 39% успешных инцидентов — это главный вектор проникновения в компании. Методы атак постоянно развиваются: в 2024 году количество найденных Linux-уязвимостей взлетело на 967%, а в 2025 году рост продолжился.
Среди недавних критичных проблем безопасности:
- CVE-2025-31161 в CrushFTP, позволяющая захватить права администратора;
- CVE-2024-53104 для эскалации привилегий;
- CVE-2025-32463 в утилите sudo, дающая непривилегированным пользователям root-доступ.
Пробелы в защите Linux-серверов
Несмотря на растущие риски, многие Linux-серверы не оснащены EPP/EDR-решениями. Причины этого включают:
- опасения снижения производительности из-за антивирусных решений;
- сложность настройки EDR-агентов на серверах;
- ошибочное мнение о достаточности встроенных механизмов вроде SELinux;
- невозможность установки защиты на специализированные устройства (МЭ, серверы виртуализации);
- проблемы совместимости EPP/EDR с определёнными сборками Linux и ядрами.
Ограничения стандартных средств защиты
Встроенные инструменты Linux (SELinux/AppArmor, iptables/nftables, Auditd) обеспечивают базовую безопасность, но не справляются с современными угрозами. Злоумышленники в 2025 году активно используют:
- бесфайловые вредоносы;
- Living-off-the-Land техники;
- эскалацию привилегий;
- руткиты;
- инструменты блокировки защитных решений.
Примером стал бэкдор Plague — вредоносный PAM-модуль, который:
- стирает следы в журналах;
- обходит отладку;
- даёт постоянный SSH-доступ;
- позволяет выполнять команды на хосте.
EDR/XDR-системы полагаются на Auditd и eBPF для сбора событий, но у них есть ограничения. Auditd требует монопольного использования для гарантированной доставки событий, а eBPF имеет проблемы совместимости между разными сборками ядра.
Подход на уровне ядра
Технология Universal Linux Kernel Module в Kaspersky Endpoint Security for Linux использует драйвер ядра, предоставляя новый уровень защиты:
- Automatic Exploit Prevention — анализ подозрительных действий (нетипичные процессы) с приостановкой их выполнения;
- Интеграция с XDR — детальная телеметрия о событиях безопасности;
- Снижение влияния на производительность в 20+ раз.
В версии 12.4 (выход в конце декабря) технология позволит:
- отказаться от настройки глобальных исключений через точки монтирования;
- задавать исключения удалённо через политики Kaspersky Endpoint Security.
Активация ULKM доступна через Kaspersky Security Center Linux. Подробные инструкции размещены на сайте поддержки.