Augmenten atacs contra Linux i no estem preparats

Diego Germán González

4 minuts

Augmenten atacs contra Linux

Fa anys els usuaris de Linux ens burlàvem dels de Windows pels seus problemes de seguretat. Un acudit comú era que l'únic virus que coneixíem era el del refredat que ens pescàvem. Resfredeixo resultat de les activitats a l'aire lliure realitzades en el temps no dedicat a formatar i reiniciar.

Com els va passar als porquets del conte, la nostra seguretat era només una sensació. A mesura que Linux es va anar fent un lloc al sector corporatiu, els delinqüents informàtics van trobar la manera de burlar les seves proteccions.

Per què augmenten atacs contra Linux

Quan estava recopilant els articles per el balanç del 2021, em va sorprendre que cada mes hi hagués una informació sobre problemes de seguretat relacionats amb Linux. Per descomptat que, gran part de la responsabilitat no és dels desenvolupadors sinó dels administradors de sistemes. La majoria dels problemes són per infraestructures mal configurades o administrades.

D'acord amb els investigadors de ciberseguretat de VMWare, els delinqüents informàtics van convertir Linux a fi dels seus atacs quan van descobrir que, en els últims cinc anys, Linux es va convertir en el sistema operatiu més popular per a entorns multicloud i és el que està darrere del 78% dels llocs web més populars.

Un dels problemes és que la majoria de les contramesures anti malware actuals se centren principalment
a abordar les amenaces basades en Windows.

Els núvols públics i privats constitueixen objectius de gran valor per als ciberdelinqüents, ja que brinden accés a serveis d'infraestructura i recursos informàtics d'importància crítica. Elles allotgen components clau, com a servidors de correu electrònic i bases de dades de clients,

Aquests atacs es produeixen aprofitant sistemes d'autenticació feble, vulnerabilitats i configuracions errònies en infraestructures basades en contenidors per infiltrar-se a l'entorn utilitzant eines d'accés remot (RAT).

Un cop els atacants van aconseguir ingressar al sistema, solen optar per dos tipus d'atacs: ejecutar ransomware o implementar components de criptomineria.

  • Ransomware: En aquest tipus d'atac, els delinqüents ingressen a una xarxa i xifren els fitxers.
  • Criptomineria: En realitat, hi ha dos tipus d'atacs. Al primer es roben billeteres simulant una aplicació basada en criptomonedes i al segon s'usen els recursos de maquinari de l'equip atacat per al minat.

Com es fan els atacs

Quan el delinqüent aconsegueix obtenir accés inicial a un entorn, heu de trobar una manera d'aprofitar aquest accés limitat per aconseguir més privilegis. El primer objectiu és instal·lar programes en un sistema compromès que permeti obtenir un control parcial de la màquina.

Aquest programa, conegut com a implant o balisa, té com a objectiu establir connexions de xarxa regulars al servidor d'ordre i control per rebre instruccions i transmetre els resultats.

Hi ha dues maneres de connexió amb l'implant; passiva i activa

  • Passiva: L'implant passiu espera la connexió amb un servidor compromès.
  • Activa: L'implant està connectat permanentment amb el servidor d'ordres i control.

Les investigacions determinen que els implants en mode actiu són els més usats.

Tàctiques dels atacants

Els implants sovint fan reconeixements en els sistemes de la seva àrea. Per exemple, poden escanejar un conjunt complet d'adreces IP per recopilar informació de sistemes i obtenir dades de bàner de port TCP. Això també pot permetre que l'implant recopili adreces IP, noms d'amfitrió, comptes d'usuari actius i sistemes operatius específics i versions de programari de tots els sistemes que detecta.

Els implants han de ser capaços d'amagar-se dins dels sistemes infectats per continuar fent la feina. Per això sol mostrar-se com un altre servei o aplicació del sistema operatiu amfitrió. Als núvols basats en Linux es camuflen com a treballs cron de rutina. En els sistemes inspirats en Unix com a Linux, cron permet que els entorns Linux, macOS i Unix programin processos perquè s'executin a intervals regulars. D'aquesta manera, el codi maliciós es pot implantar en sistema compromès amb una freqüència de reinici de 15 minuts, per la qual cosa es pot reiniciar si mai es cancel·la.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Juancito va dir
    fa 2 anys

    systemd + cgrups + http2 + http3 + javascripts en pdfs….etc etc etc i encara es pregunten perquè van començar els problemes ??

    Respondre a Juancito
  2.   Adrián va dir
    fa 2 anys

    Com bé dieu ou fala vc , o problema muito júnior que não sap configurar sistema o emigração de Windows que fazem senhas de 123456 per a sistemes complexo, Linux i segur més não intel·ligent per a fazer sua pròpia seguretat, penso que és tot un desafiament més esdevé en Windows a pessoa per ter un antivirus se sent segur, não s'ensina segurança o com ser segur es diu o que ens deixa vulnerável, fet que seria bom um artigo com es protegir contra aquestes coisas, com fazer senhas segures oi usar um encriptat de senha com senha única……etc

    Respondre a Adrián
  3.   Albert va dir
    fa 2 anys

    Jo crec que amb més popularitat més atacs, també importa la manera com blindes el teu equip.

    Respondre Albert