Linux에 대한 공격이 증가하고 있으며 우리는 준비되어 있지 않습니다.

몇 년 전 Linux 사용자는 보안 문제로 Windows 사용자를 조롱했습니다. 흔한 농담은 우리가 아는 유일한 바이러스는 우리가 걸린 감기에 걸린 바이러스라는 것이었습니다. 포맷 및 재부팅을 하지 않은 시간 동안 야외 활동으로 인한 감기.

이야기에 나오는 꼬마 돼지들에게 일어난 일처럼, 우리의 안전은 단지 느낌이었습니다. Linux가 기업 세계에 침투하면서 사이버 범죄자들은 ​​Linux의 보호 기능을 우회할 방법을 찾았습니다.

Linux에 대한 공격이 증가하는 이유

아이템을 수집할 때 2021년의 균형, 매달 Linux와 관련된 보안 문제에 대한 보고서가 있다는 사실에 놀랐습니다. 물론 대부분의 책임은 개발자가 아니라 시스템 관리자에게 있습니다.. 대부분의 문제는 잘못 구성되거나 관리되는 인프라로 인해 발생합니다.

동의합니다 VMWare 사이버 보안 연구원, 사이버 범죄자들은 ​​지난 XNUMX년 동안 Linux가 가장 인기 있는 운영 체제가 되었다는 사실을 발견하고 Linux를 공격 대상으로 삼았습니다. 멀티클라우드 환경용이며 가장 인기 있는 웹사이트의 78%를 차지합니다.

문제 중 하나는 현재 대부분의 맬웨어 방지 대책이 주로 초점
Windows 기반 위협을 해결합니다.

퍼블릭 및 프라이빗 클라우드는 사이버 범죄자의 고가치 표적입니다. 인프라 서비스 및 중요한 컴퓨팅 리소스에 대한 액세스를 제공합니다. 이메일 서버 및 고객 데이터베이스와 같은 주요 구성 요소를 호스팅합니다.

이러한 공격은 컨테이너 기반 인프라의 취약한 인증 시스템, 취약성 및 잘못된 구성을 악용하여 발생합니다. 원격 액세스 도구(RAT)를 사용하여 환경에 침투합니다.

공격자가 시스템에 침입하면 일반적으로 두 가지 유형의 공격을 선택합니다. e랜섬웨어를 실행하거나 크립토마이닝 구성 요소를 배포합니다.

• 랜섬웨어: 이 유형의 공격에서 범죄자는 네트워크에 침입하여 파일을 암호화합니다.
• 암호화 마이닝: 실제로 두 가지 유형의 공격이 있습니다. 첫 번째는 암호화폐 기반 애플리케이션을 시뮬레이션하는 지갑을 도난당하는 것이고, 두 번째는 공격받은 컴퓨터의 하드웨어 자원을 채굴에 사용하는 것이다.

공격이 수행되는 방식

범죄자가 환경에 대한 초기 액세스 권한을 획득하면 더 많은 권한을 얻으려면 이 제한된 액세스를 활용하는 방법을 찾아야 합니다. 첫 번째 목표는 손상된 시스템에 시스템을 부분적으로 제어할 수 있는 프로그램을 설치하는 것입니다.

임플란트 또는 비콘으로 알려진 이 프로그램은 명령을 수신하고 결과를 전송하기 위해 명령 및 제어 서버에 대한 정기적인 네트워크 연결을 설정하는 것을 목표로 합니다..

임플란트와 연결하는 방법에는 두 가지가 있습니다. 수동적이고 능동적인

• 패시브: 패시브 임플란트는 손상된 서버에 대한 연결을 기다립니다.
• 활성: 임플란트가 명령 및 제어 서버에 영구적으로 연결됩니다.

연구에 따르면 활성 모드의 임플란트가 가장 많이 사용됩니다.

공격자 전술

임플란트는 종종 해당 지역의 시스템에 대한 정찰을 수행합니다. 예를 들어, 시스템 정보를 수집하고 TCP 포트 배너 데이터를 얻기 위해 전체 IP 주소 세트를 스캔할 수 있습니다. 이것은 또한 임플란트가 IP 주소, 호스트 이름, 활성 사용자 계정, 탐지한 모든 시스템의 특정 운영 체제 및 소프트웨어 버전을 수집하도록 허용할 수 있습니다.

임플란트는 작업을 계속하기 위해 감염된 시스템 내에 숨을 수 있어야 합니다. 이를 위해 일반적으로 호스트 운영 체제의 다른 서비스 또는 응용 프로그램으로 표시됩니다. Linux 기반 클라우드에서는 일상적인 크론 작업으로 위장합니다. Linux와 같은 Unix 기반 시스템에서 cron을 사용하면 Linux, macOS 및 Unix 환경에서 프로세스가 정기적으로 실행되도록 예약할 수 있습니다. 이러한 방식으로 맬웨어는 15분의 재부팅 빈도로 손상된 시스템에 이식될 수 있으므로 중단된 경우 재부팅될 수 있습니다.