Útoky proti Linuxu přibývají a my na to nejsme připraveni

Před lety si uživatelé Linuxu dělali legraci z uživatelů Windows pro jejich bezpečnostní problémy. Obyčejný vtip byl, že jediný virus, který jsme znali, byl ten z nachlazení, který jsme dostali. Chlad způsobený venkovními aktivitami prováděnými v době, kterou nestrávili formátováním a restartováním.

Jak se to stalo malým prasátkům v příběhu, naše bezpečí byl jen pocit. Když se Linux dostal do podnikového světa, kyberzločinci našli způsoby, jak obejít jeho ochranu.

Proč útoků proti Linuxu přibývá

Když jsem sbíral předměty pro bilance roku 2021, Překvapilo mě, že každý měsíc vyšla zpráva o bezpečnostních problémech souvisejících s Linuxem. Samozřejmě, že velká část odpovědnosti není na vývojářích, ale na správcích systému.. Většina problémů je způsobena špatně nakonfigurovanými nebo spravovanými infrastrukturami.

souhlasím s tebou Výzkumníci kybernetické bezpečnosti VMWare, Kyberzločinci udělali z Linuxu cíl svých útoků, když zjistili, že v posledních pěti letech se Linux stal nejoblíbenějším operačním systémem. pro multicloudová prostředí a stojí za 78 % nejoblíbenějších webových stránek.

Jedním z problémů je, že většina současných protiopatření proti malwaru zaměřit se hlavně
při řešení hrozeb založených na Windows.

Veřejné a soukromé cloudy jsou pro kyberzločince vysoce hodnotnými cíli poskytují přístup ke službám infrastruktury a kritickým výpočetním zdrojům. Hostují klíčové komponenty, jako jsou e-mailové servery a databáze zákazníků,

K těmto útokům dochází využíváním slabých ověřovacích systémů, zranitelností a chybné konfigurace v infrastrukturách založených na kontejnerech. k infiltraci prostředí pomocí nástrojů pro vzdálený přístup (RAT).

Jakmile útočníci proniknou do systému, obvykle se rozhodnou pro dva typy útoků: napřspustit ransomware nebo nasadit komponenty pro kryptominaci.

• Ransomware: Při tomto typu útoku se zločinci dostanou do sítě a zašifrují soubory.
• Těžba kryptoměn: Ve skutečnosti existují dva typy útoků. V první se kradou peněženky simulující aplikaci založenou na kryptoměnách a ve druhé se k těžbě využívají hardwarové prostředky napadeného počítače.

Jak jsou útoky prováděny

Jakmile zločinec získá počáteční přístup do prostředí, Musíte najít způsob, jak využít tento omezený přístup a získat další privilegia. Prvním cílem je nainstalovat na kompromitovaný systém programy, které mu umožní získat částečnou kontrolu nad strojem.

Tento program, známý jako implantát nebo maják, si klade za cíl vytvořit pravidelná síťová připojení k velícímu a řídicímu serveru pro příjem pokynů a přenos výsledků.

Existují dva způsoby spojení s implantátem; pasivní a aktivní

• Pasivní: Pasivní implantát čeká na připojení ke kompromitovanému serveru.
• Aktivní: Implantát je trvale připojen k příkazovému a řídicímu serveru.

Výzkum určuje, že nejpoužívanější jsou implantáty v aktivním režimu.

Taktika útočníka

Implantáty často provádějí průzkum systémů ve své oblasti. Například, mohou skenovat celou sadu IP adres, shromažďovat systémové informace a získávat data banneru TCP portu. To může také implantátu umožnit shromažďovat IP adresy, názvy hostitelů, aktivní uživatelské účty a konkrétní operační systémy a verze softwaru všech systémů, které zjistí.

Implantáty musí být schopny se schovat v infikovaných systémech, aby mohly pokračovat ve své práci. Za tímto účelem se obvykle zobrazuje jako další služba nebo aplikace hostitelského operačního systému. V cloudech založených na Linuxu jsou maskovány jako rutinní úlohy cron. Na systémech inspirovaných Unixem, jako je Linux, cron umožňuje prostředím Linux, macOS a Unix naplánovat spouštění procesů v pravidelných intervalech. Tímto způsobem lze malware implantovat do kompromitovaného systému s frekvencí restartování 15 minut, takže jej lze restartovat, pokud bude někdy přerušen.