Linuxに対する攻撃が増えており、準備ができていません

数年前、Linuxユーザーはセキュリティの問題でWindowsユーザーをからかっていました。 よくあるジョークは、私たちが知っている唯一のウイルスは、私たちが捕まえた寒さからのものであるというものでした。 フォーマットと再起動に費やされていない時間に実行された屋外活動に起因する寒さ。

物語の中の小さなブタに起こったように、 私たちの安全はただの気持ちでした。 Linuxが企業の世界に参入するにつれ、サイバー犯罪者はLinuxの保護を回避する方法を見つけました。

Linuxに対する攻撃が増加している理由

アイテムを集めていたとき 2021年のバランス、Linuxに関連するセキュリティ問題についての報告が毎月あったことに驚きました。 もちろん、責任の多くは開発者ではなく、システム管理者にあります。。 問題のほとんどは、インフラストラクチャの構成または管理が不十分なことが原因です。

仰るとおりです VMWareサイバーセキュリティ研究者, サイバー犯罪者は、過去XNUMX年間で、Linuxが最も人気のあるオペレーティングシステムになったことを発見したときに、Linuxを攻撃の標的にしました。 マルチクラウド環境向けであり、最も人気のあるWebサイトの78％の背後にあります。

問題のXNUMXつは、最新のマルウェア対策です。 主に焦点を当てる
Windowsベースの脅威に対処する際に。

パブリッククラウドとプライベートクラウドは、サイバー犯罪者にとって価値の高いターゲットです。 インフラストラクチャサービスと重要なコンピューティングリソースへのアクセスを提供します。 これらは、電子メールサーバーや顧客データベースなどの主要なコンポーネントをホストします。

これらの攻撃は、コンテナベースのインフラストラクチャの脆弱な認証システム、脆弱性、および構成の誤りを悪用することによって発生します。 リモートアクセスツール（RAT）を使用して環境に侵入します。

攻撃者がシステムに侵入すると、通常、次のXNUMX種類の攻撃を選択します。eランサムウェアを実行するか、暗号化コンポーネントを展開します。

• ランサムウェア：このタイプの攻撃では、犯罪者がネットワークに入り、ファイルを暗号化します。
• 暗号マイニング：実際にはXNUMX種類の攻撃があります。 最初に、暗号通貨に基づいてアプリケーションをシミュレートするウォレットが盗まれ、XNUMX番目に、攻撃されたコンピューターのハードウェアリソースがマイニングに使用されます。

攻撃の実行方法

犯罪者が環境への最初のアクセスを取得すると、 より多くの特権を取得するには、この制限されたアクセスを利用する方法を見つける必要があります。 最初の目標は、侵害されたシステムにプログラムをインストールして、マシンを部分的に制御できるようにすることです。

インプラントまたはビーコンとして知られるこのプログラムは、 コマンドおよび制御サーバーへの定期的なネットワーク接続を確立して、命令を受信し、結果を送信することを目的としています.

インプラントとの接続にはXNUMXつの方法があります。 パッシブおよびアクティブ

• パッシブ：パッシブインプラントは、侵害されたサーバーへの接続を待機します。
• アクティブ：インプラントは、コマンドおよび制御サーバーに永続的に接続されています。

研究によると、アクティブモードのインプラントが最も使用されています。

攻撃者の戦術

インプラントは、多くの場合、その領域のシステムに対して偵察を行います。 例えば、 IPアドレスのフルセットをスキャンして、システム情報を収集し、TCPポートバナーデータを取得できます。 これにより、インプラントは、IPアドレス、ホスト名、アクティブなユーザーアカウント、および検出したすべてのシステムの特定のオペレーティングシステムとソフトウェアバージョンを収集することもできます。

インプラントは、仕事を続けるために感染したシステム内に隠れることができなければなりません。 そのため、通常、ホストオペレーティングシステムの別のサービスまたはアプリケーションとして表示されます。 Linuxベースのクラウドでは、それらは通常のcronジョブとして偽装されます。 LinuxのようなUnixに着想を得たシステムでは、cronを使用すると、Linux、macOS、およびUnix環境でプロセスを定期的に実行するようにスケジュールできます。 このようにして、マルウェアは15分の再起動頻度で侵害されたシステムに埋め込まれる可能性があるため、中止された場合に再起動することができます。