Napadi na Linux su sve veći, a mi nismo spremni

Prije nekoliko godina, korisnici Linuxa ismijavali su korisnike Windowsa zbog njihovih sigurnosnih problema. Uobičajena šala bila je da je jedini virus koji smo poznavali bio onaj od prehlade koju smo uhvatili. Hladnoća koja je posljedica aktivnosti na otvorenom u vremenu koje nije utrošeno na formatiranje i ponovno pokretanje.

Kao što se dogodilo malim prasićima u priči, naša je sigurnost bila samo osjećaj. Kako se Linux probijao u korporativni svijet, cyber kriminalci su pronašli načine da zaobiđu njegovu zaštitu.

Zašto se napadi na Linux povećavaju

Kad sam skupljao predmete za bilans 2021, bio sam iznenađen što je svaki mjesec bilo izvješće o sigurnosnim problemima vezanim za Linux. Naravno, veliki dio odgovornosti nije na programerima već na administratorima sustava.. Većina problema nastaje zbog loše konfigurirane ili upravljane infrastrukture.

slažem se s tobom VMWare istraživači kibernetičke sigurnosti, kibernetički kriminalci su Linux učinili metom svojih napada kada su otkrili da je u posljednjih pet godina Linux postao najpopularniji operativni sustav za multicloud okruženja i ona je iza 78% najpopularnijih web stranica.

Jedan od problema je to što su najsuvremenije protumjere protiv zlonamjernog softvera fokus uglavnom
u rješavanju prijetnji temeljenih na sustavu Windows.

Javni i privatni oblaci su visokovrijedne mete za kibernetičke kriminalce omogućiti pristup infrastrukturnim uslugama i kritičnim računalnim resursima. Oni ugošćuju ključne komponente, kao što su poslužitelji e-pošte i baze podataka korisnika,

Ti se napadi događaju iskorištavanjem slabih sustava provjere autentičnosti, ranjivosti i pogrešnih konfiguracija u infrastrukturama temeljenim na kontejnerima. da se infiltriraju u okolinu pomoću alata za daljinski pristup (RAT).

Nakon što su napadači ušli u sustav, obično se odlučuju za dvije vrste napada: epokrenuti ransomware ili implementirati komponente za kriptominiranje.

• Ransomware: U ovoj vrsti napada, kriminalci ulaze u mrežu i šifriraju datoteke.
• Crypto mining: Postoje zapravo dvije vrste napada. U prvom se kradu novčanici koji simuliraju aplikaciju baziranu na kriptovalutama, a u drugom se za rudarenje koriste hardverski resursi napadnutog računala.

Kako se napadi izvode

Nakon što kriminalac dobije početni pristup okruženju, Morate pronaći način da iskoristite ovaj ograničeni pristup kako biste stekli više privilegija. Prvi cilj je instalirati programe na kompromitirani sustav koji mu omogućuju djelomičnu kontrolu nad strojem.

Ovaj program, poznat kao implantat ili beacon, ima za cilj uspostaviti redovite mrežne veze s poslužiteljem za zapovijedanje i upravljanje za primanje uputa i prijenos rezultata.

Postoje dva načina povezivanja s implantatom; pasivno i aktivno

• Pasivno: Pasivni implantat čeka vezu s kompromitiranim poslužiteljem.
• Aktivno: implantat je trajno povezan s poslužiteljem za naredbe i upravljanje.

Istraživanja su pokazala da su implantati u aktivnom načinu rada najčešće korišteni.

Taktike napadača

Implantati često obavljaju izviđanje sustava u svom području. Na primjer, mogu skenirati cijeli skup IP adresa kako bi prikupili informacije o sustavu i dobili podatke bannera TCP porta. To također može omogućiti implantatu prikupljanje IP adresa, imena hostova, aktivnih korisničkih računa i specifičnih operativnih sustava i verzija softvera svih sustava koje otkrije.

Implantati se moraju moći sakriti unutar zaraženih sustava kako bi nastavili obavljati svoj posao. Za to se obično prikazuje kao druga usluga ili aplikacija glavnog operativnog sustava. U oblacima temeljenim na Linuxu oni su kamuflirani kao rutinski cron poslovi. Na sustavima inspiriranim Unixom kao što je Linux, cron omogućuje Linux, macOS i Unix okruženjima da zakažu procese koji će se pokrenuti u redovitim intervalima. Na taj se način zlonamjerni softver može usaditi u kompromitirani sustav s frekvencijom ponovnog pokretanja od 15 minuta, tako da se može ponovno pokrenuti ako se ikada prekine.