Vor Jahren machten sich Linux-Benutzer über Windows-Benutzer wegen ihrer Sicherheitsprobleme lustig. Ein häufiger Witz war, dass der einzige Virus, den wir kannten, der von der Erkältung war, die wir uns eingefangen hatten. Erkältung aufgrund von Aktivitäten im Freien, die in der Zeit durchgeführt wurden, in der keine Formatierung und kein Neustart aufgewendet wurden.
Wie es den kleinen Schweinchen in der Geschichte passiert ist, Unsere Sicherheit war nur ein Gefühl. Als Linux seinen Weg in die Unternehmenswelt fand, fanden Cyberkriminelle Wege, seinen Schutz zu umgehen.
Warum die Angriffe auf Linux zunehmen
Als ich die Artikel für sammelte die Bilanz von 2021, war ich überrascht, dass es jeden Monat einen Bericht über Sicherheitsprobleme im Zusammenhang mit Linux gab. Natürlich liegt ein Großteil der Verantwortung nicht bei den Entwicklern, sondern bei den Systemadministratoren.. Die meisten Probleme sind auf schlecht konfigurierte oder verwaltete Infrastrukturen zurückzuführen.
Ich stimme mit Ihnen ein VMWare-Cybersicherheitsforscher, Cyberkriminelle machten Linux zum Ziel ihrer Angriffe, als sie herausfanden, dass Linux in den letzten fünf Jahren zum beliebtesten Betriebssystem wurde für Multicloud-Umgebungen und steht hinter 78 % der beliebtesten Websites.
Eines der Probleme ist, dass die meisten aktuellen Anti-Malware-Gegenmaßnahmen hauptsächlich konzentrieren
bei der Abwehr von Windows-basierten Bedrohungen.
Öffentliche und private Clouds sind hochwertige Ziele für Cyberkriminelle, da sie bieten Zugriff auf Infrastrukturdienste und kritische Computerressourcen. Sie hosten Schlüsselkomponenten wie E-Mail-Server und Kundendatenbanken,
Diese Angriffe erfolgen durch Ausnutzung schwacher Authentifizierungssysteme, Schwachstellen und Fehlkonfigurationen in Container-basierten Infrastrukturen. die Umgebung mit Remote Access Tools (RATs) zu infiltrieren.
Sobald sich Angreifer Zugang zum System verschafft haben, entscheiden sie sich typischerweise für zwei Arten von Angriffen: zRansomware ausführen oder Cryptomining-Komponenten bereitstellen.
- Ransomware: Bei dieser Art von Angriff dringen Kriminelle in ein Netzwerk ein und verschlüsseln Dateien.
- Krypto-Mining: Es gibt eigentlich zwei Arten von Angriffen. Im ersten Fall werden Wallets gestohlen, die eine auf Kryptowährungen basierende Anwendung simulieren, und im zweiten Fall werden die Hardware-Ressourcen des angegriffenen Computers für das Mining verwendet.
Wie die Angriffe ausgeführt werden
Sobald der Kriminelle den ersten Zugang zu einer Umgebung erhält, Sie müssen einen Weg finden, diesen eingeschränkten Zugriff zu nutzen, um mehr Privilegien zu erhalten. Das erste Ziel besteht darin, Programme auf einem kompromittierten System zu installieren, die es ihm ermöglichen, teilweise die Kontrolle über die Maschine zu erlangen.
Dieses Programm, bekannt als Implantat oder Leuchtfeuer, zielt darauf ab, regelmäßige Netzwerkverbindungen zum Command-and-Control-Server herzustellen, um Anweisungen zu erhalten und die Ergebnisse zu übermitteln.
Es gibt zwei Möglichkeiten der Verbindung mit dem Implantat; passiv und aktiv
- Passiv: Das passive Implantat wartet auf eine Verbindung zu einem kompromittierten Server.
- Aktiv: Das Implantat ist permanent mit dem Command-and-Control-Server verbunden.
Untersuchungen haben ergeben, dass Implantate im aktiven Modus am häufigsten verwendet werden.
Angreifer-Taktiken
Implantate führen häufig Aufklärungen über Systeme in ihrem Bereich durch. Beispielsweise, Sie können einen vollständigen Satz von IP-Adressen scannen, um Systeminformationen zu sammeln und TCP-Port-Bannerdaten zu erhalten. Dies kann es dem Implantat auch ermöglichen, IP-Adressen, Hostnamen, aktive Benutzerkonten und bestimmte Betriebssysteme und Softwareversionen aller erkannten Systeme zu sammeln.
Die Implantate müssen sich in infizierten Systemen verstecken können, um weiterhin ihre Arbeit zu verrichten. Dafür wird es normalerweise als ein anderer Dienst oder eine Anwendung des Host-Betriebssystems angezeigt. In Linux-basierten Clouds werden sie als routinemäßige Cron-Jobs getarnt. Auf Unix-inspirierten Systemen wie Linux ermöglicht cron Linux-, macOS- und Unix-Umgebungen, Prozesse so zu planen, dass sie in regelmäßigen Abständen ausgeführt werden. Auf diese Weise kann die Malware mit einer Neustartfrequenz von 15 Minuten in ein kompromittiertes System implantiert werden, sodass es bei einem Abbruch neu gestartet werden kann.
systemd + cgrups + http2 + http3 + javascripts in pdfs….etc etc etc und sie fragen sich immer noch warum die Probleme angefangen haben??
Wie Sie sagen, Sie scheitern oder ein sehr junges Problem, das nicht weiß, wie man ein System konfiguriert oder von Windows migriert, das für komplexe Systeme 123456 zu sein scheint, Linux ist sicher, aber nicht intelligent, um seine eigene Sicherheit zu schaffen, denke ich Alles eine weitere Herausforderung, die in Windows für Menschen auftritt, weil sich ein Antivirus sicher anfühlt, es nicht gelehrt wird, sicher zu sein oder wie man sicher ist, oder dass es uns anfällig macht, also wäre es gut in einem Artikel, wie man sich davor schützt diese Dinge, wie man sichere Zeichen macht oder eine Senha-Verschlüsselung mit nur einem verwendet … etc
Ich glaube, dass mit mehr Popularität und mehr Angriffen auch die Art und Weise, wie Sie Ihr Team schützen, von Bedeutung ist.