Uzbrukumi pret Linux pieaug, un mēs neesam gatavi

Pirms gadiem Linux lietotāji ņirgājās par Windows lietotājiem viņu drošības problēmu dēļ. Izplatīts joks bija tāds, ka vienīgais vīruss, ko mēs zinām, bija no saaukstēšanās, ko noķērām. Aukstums, ko izraisa āra aktivitātes, kas veiktas laikā, kas nav pavadīts formatēšanai un pārstartēšanai.

Kā tas notika ar mazajām cūkām stāstā, mūsu drošība bija tikai sajūta. Kad Linux ienāca korporatīvajā pasaulē, kibernoziedznieki atrada veidus, kā apiet tās aizsardzību.

Kāpēc pieaug uzbrukumi Linux

Kad es vācu priekšmetus 2021. gada bilance, Biju pārsteigts, ka katru mēnesi bija ziņojums par drošības problēmām saistībā ar Linux. Protams, liela daļa atbildības nav uz izstrādātājiem, bet gan uz sistēmas administratoriem.. Lielākā daļa problēmu ir saistītas ar slikti konfigurētu vai pārvaldītu infrastruktūru.

ES tev piekrītu VMWare kiberdrošības pētnieki, kibernoziedznieki padarīja Linux par savu uzbrukumu mērķi, kad viņi atklāja, ka pēdējo piecu gadu laikā Linux ir kļuvusi par populārāko operētājsistēmu Multicloud vidēm un ir viena aiz 78% populārāko vietņu.

Viena no problēmām ir tā, ka lielākā daļa pašreizējo pretļaundabīgo programmu pretpasākumu koncentrēties galvenokārt
risinot Windows draudus.

Publiskie un privātie mākoņi ir vērtīgi kibernoziedznieku mērķi, tāpat kā viņi nodrošināt piekļuvi infrastruktūras pakalpojumiem un kritiskajiem skaitļošanas resursiem. Tie mitina galvenos komponentus, piemēram, e-pasta serverus un klientu datu bāzes,

Šie uzbrukumi notiek, izmantojot vājas autentifikācijas sistēmas, ievainojamības un nepareizas konfigurācijas konteineru infrastruktūrās. iefiltrēties vidē, izmantojot attālās piekļuves rīkus (RAT).

Kad uzbrucēji ir iekļuvuši sistēmā, viņi parasti izvēlas divu veidu uzbrukumus: epalaist ransomware vai izvietot kriptominēšanas komponentus.

• Ransomware: šāda veida uzbrukumos noziedznieki iekļūst tīklā un šifrē failus.
• Kripto ieguve: patiesībā ir divu veidu uzbrukumi. Pirmajā tiek nozagti maki, imitējot lietojumprogrammu, kuras pamatā ir kriptovalūtas, bet otrajā - ieguvei tiek izmantoti uzbruktā datora aparatūras resursi.

Kā tiek veikti uzbrukumi

Kad noziedznieks iegūst sākotnējo piekļuvi videi, Jums ir jāatrod veids, kā izmantot šo ierobežoto piekļuvi, lai iegūtu vairāk privilēģiju. Pirmais mērķis ir instalēt programmas apdraudētā sistēmā, kas ļauj tai iegūt daļēju kontroli pār iekārtu.

Šī programma, kas pazīstama kā implants vai bāka, mērķis ir izveidot regulārus tīkla savienojumus ar komandu un vadības serveri, lai saņemtu norādījumus un pārsūtītu rezultātus.

Ir divi savienojuma veidi ar implantu; pasīvs un aktīvs

• Pasīvs: pasīvais implants gaida savienojumu ar apdraudētu serveri.
• Aktīvs: implants ir pastāvīgi savienots ar komandu un vadības serveri.

Pētījumi liecina, ka implanti aktīvajā režīmā ir visvairāk izmantotie.

Uzbrucēju taktika

Implanti bieži veic sistēmu izlūkošanu savā teritorijā. Piemēram, viņi var skenēt pilnu IP adrešu komplektu, lai apkopotu sistēmas informāciju un iegūtu TCP porta reklāmkarogu datus. Tas var arī ļaut implantam apkopot IP adreses, resursdatora nosaukumus, aktīvos lietotāju kontus un noteiktas operētājsistēmas un visu noteikto sistēmu programmatūras versijas.

Implantiem ir jāspēj paslēpties inficētajās sistēmās, lai turpinātu savu darbu. Šim nolūkam tas parasti tiek parādīts kā cits resursdatora operētājsistēmas pakalpojums vai lietojumprogramma. Uz Linux balstītos mākoņos tie tiek maskēti kā rutīnas cron darbi. Unix iedvesmotās sistēmās, piemēram, Linux, cron ļauj Linux, macOS un Unix vidēm ieplānot procesus, lai tie darbotos regulāri. Tādā veidā ļaunprātīgu programmatūru var implantēt apdraudētā sistēmā ar 15 minūšu atsāknēšanas biežumu, lai to varētu atsāknēt, ja tā kādreiz tiek pārtraukta.