Les attaques contre Linux se multiplient et nous ne sommes pas préparés

Les attaques contre Linux se multiplient

Il y a des années, les utilisateurs de Linux se moquaient des utilisateurs de Windows pour leurs problèmes de sécurité. Une plaisanterie courante disait que le seul virus que nous connaissions était celui du rhume que nous avions attrapé. Froid résultant d'activités de plein air effectuées dans le temps non consacré au formatage et au redémarrage.

Comme c'est arrivé aux petits cochons dans l'histoire, notre sécurité n'était qu'un sentiment. Alors que Linux faisait son entrée dans le monde de l'entreprise, les cybercriminels ont trouvé des moyens de contourner ses protections.

Pourquoi les attaques contre Linux se multiplient

Quand je rassemblais les objets pour le bilan de 2021, j'ai été surpris qu'il y ait chaque mois un rapport sur les problèmes de sécurité liés à Linux. Bien sûr, une grande partie de la responsabilité n'incombe pas aux développeurs mais aux administrateurs système.. La plupart des problèmes sont dus à des infrastructures mal configurées ou mal gérées.

De acuerdo con los Chercheurs en cybersécurité VMWare, les cybercriminels ont fait de Linux la cible de leurs attaques lorsqu'ils ont découvert qu'au cours des cinq dernières années, Linux était devenu le système d'exploitation le plus populaire pour les environnements multicloud et est celui derrière 78% des sites Web les plus populaires.

L'un des problèmes est que la plupart des contre-mesures anti-malware actuelles se concentrer principalement
dans la lutte contre les menaces basées sur Windows.

Les clouds publics et privés sont des cibles de grande valeur pour les cybercriminels, car ils fournir un accès aux services d'infrastructure et aux ressources informatiques critiques. Ils hébergent des composants clés, tels que des serveurs de messagerie et des bases de données clients,

Ces attaques se produisent en exploitant des systèmes d'authentification faibles, des vulnérabilités et des erreurs de configuration dans les infrastructures basées sur des conteneurs. d'infiltrer l'environnement à l'aide d'outils d'accès à distance (RAT).

Une fois que les attaquants ont pénétré dans le système, ils optent généralement pour deux types d'attaques : eexécuter un rançongiciel ou déployer des composants de cryptominage.

  • Ransomware : Dans ce type d'attaque, les criminels pénètrent dans un réseau et cryptent les fichiers.
  • Crypto mining : Il existe en fait deux types d'attaques. Dans le premier, des portefeuilles sont volés simulant une application basée sur des crypto-monnaies et dans le second, les ressources matérielles de l'ordinateur attaqué sont utilisées pour le minage.

Comment se déroulent les attentats

Une fois que le criminel obtient un premier accès à un environnement, Vous devez trouver un moyen de profiter de cet accès limité pour obtenir plus de privilèges. Le premier objectif est d'installer des programmes sur un système compromis qui lui permettent de prendre le contrôle partiel de la machine.

Ce programme, connu sous le nom d'implant ou de balise, vise à établir des connexions réseau régulières au serveur de commande et de contrôle pour recevoir des instructions et transmettre les résultats.

Il existe deux manières de se connecter à l'implant; passif et actif

  • Passif : L'implant passif attend une connexion à un serveur compromis.
  • Actif : L'implant est connecté en permanence au serveur de commande et de contrôle.

La recherche détermine que les implants en mode actif sont les plus utilisés.

Tactiques de l'attaquant

Les implants effectuent souvent des reconnaissances sur les systèmes de leur région. Par exemple, ils peuvent analyser un ensemble complet d'adresses IP pour collecter des informations système et obtenir des données de bannière de port TCP. Cela peut également permettre à l'implant de collecter des adresses IP, des noms d'hôte, des comptes d'utilisateurs actifs et des systèmes d'exploitation spécifiques et des versions logicielles de tous les systèmes qu'il détecte.

Les implants doivent pouvoir se cacher dans les systèmes infectés pour continuer à faire leur travail. Pour cela, il est généralement présenté comme un autre service ou une autre application du système d'exploitation hôte. Dans les clouds basés sur Linux, ils sont camouflés en tâches cron de routine. Sur les systèmes inspirés d'Unix comme Linux, cron permet aux environnements Linux, macOS et Unix de planifier l'exécution de processus à intervalles réguliers. De cette manière, le logiciel malveillant peut être implanté dans un système compromis avec une fréquence de redémarrage de 15 minutes, de sorte qu'il peut être redémarré s'il est interrompu.


3 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   juancito dit

    systemd + cgrups + http2 + http3 + javascripts dans les pdfs….etc etc etc et ils se demandent toujours pourquoi les problèmes ont commencé ??

  2.   Adrian dit

    Comme vous le dites, vous échouez, ou un problème très junior qui ne sait pas comment configurer un système ou migrer de Windows qui semble être 123456 pour les systèmes complexes, Linux est sûr mais pas intelligent pour faire sa propre sécurité, je pense que c'est tout un défi de plus qui arrive dans Windows aux gens car avoir un antivirus se sent en sécurité, il n'est pas enseigné d'être en sécurité ou comment être en sécurité est dit ou qu'il nous rend vulnérables, donc ce serait bien dans un article comment se protéger contre ces choses, comment faire des signes sûrs ou utiliser un cryptage senha avec un seul… etc

  3.   Albert dit

    Je crois qu'avec plus de popularité et plus d'attaques, la façon dont vous protégez votre équipe compte également.