Angreb mod Linux er stigende, og vi er ikke forberedte

For år siden gjorde Linux-brugere grin med Windows-brugere for deres sikkerhedsproblemer. En almindelig joke var, at den eneste virus, vi kendte til, var den forkølelse, vi fik. Kulde som følge af udendørs aktiviteter i den tid, der ikke er brugt på formatering og genstart.

Som det skete med de små grise i historien, vores sikkerhed var bare en følelse. Efterhånden som Linux fik fodfæste i erhvervssektoren, fandt hackere måder at omgå dets beskyttelse på.

Hvorfor angreb mod Linux er stigende

Da jeg samlede varerne til saldoen i 2021, Jeg var overrasket over, at der hver måned var en information om sikkerhedsproblemer relateret til Linux. Selvfølgelig, at en stor del af ansvaret ikke ligger hos udviklerne, men hos systemadministratorerne. De fleste af problemerne skyldes dårligt konfigurerede eller administrerede infrastrukturer.

jeg er enig med dig VMWare cybersikkerhedsforskere, hackere målrettede Linux, da de opdagede, at Linux i de sidste fem år var blevet det mest populære styresystem til multicloud-miljøer og står bag 78% af de mest populære hjemmesider.

Et af problemerne er, at de fleste af de nuværende anti-malware modforanstaltninger er hovedsageligt fokuserede
i adressering af Windows-baserede trusler.

Offentlige og private skyer er værdifulde mål for cyberkriminelle, som de give adgang til kritiske infrastrukturtjenester og computerressourcer. De er vært for nøglekomponenter, såsom e-mail-servere og kundedatabaser,

Disse angreb er produceret ved at drage fordel af svage autentificeringssystemer, sårbarheder og fejlkonfigurationer i containerbaserede infrastrukturer. at infiltrere miljøet ved hjælp af Remote Access Tools (RAT'er).

Når først angribere har fået adgang til systemet, vælger de typisk to typer angreb: fkøre ransomware eller implementere kryptomineringskomponenter.

• Ransomware: I denne type angreb bryder kriminelle ind i et netværk og krypterer filer.
• Cryptomining: Der er faktisk to typer angreb. I den første bliver der stjålet tegnebøger, der simulerer en applikation baseret på kryptovalutaer, og i den anden bruges hardwareressourcerne på den angrebne computer til minedrift.

Hvordan angreb udføres

Når først forbryderen formår at få første adgang til et miljø, du skal finde en måde at drage fordel af denne begrænsede adgang for at få flere privilegier. Det første mål er at installere programmer på et kompromitteret system, der giver dig mulighed for at få delvis kontrol over maskinen.

Dette program, kendt som et implantat eller beacon, har til formål at etablere regelmæssige netværksforbindelser til kommando- og kontrolserveren for at modtage instruktioner og sende resultater.

Der er to måder at forbinde med implantatet; passiv og aktiv

• Passiv: Det passive implantat venter på forbindelse til en kompromitteret server.
• Aktivt: Implantatet er permanent forbundet til kommando- og kontrolserveren.

Forskning fastslår, at implantater i aktiv tilstand er de mest anvendte.

Angriber taktik

Implantater udfører ofte rekognosceringssystemer i deres område. For eksempel, de kan scanne et komplet sæt IP-adresser for at indsamle systemoplysninger og få TCP-portbannerdata. Dette kan også gøre det muligt for implantatet at indsamle IP-adresser, værtsnavne, aktive brugerkonti og specifikke operativsystemer og softwareversioner af alle systemer, det registrerer.

Implantaterne skal være i stand til at gemme sig inde i inficerede systemer for at fortsætte med at udføre deres arbejde. Til det vises det normalt som en anden tjeneste eller applikation af værtsoperativsystemet. I Linux-baserede skyer er de forklædt som rutinemæssige cron-job. På Unix-inspirerede systemer som Linux tillader cron Linux-, macOS- og Unix-miljøer at planlægge processer til at køre med regelmæssige intervaller. På denne måde kan malwaren implantere sig selv på et kompromitteret system med en genstartsfrekvens på 15 minutter, så den kan genstartes, hvis den nogensinde bliver afbrudt.