Jaren geleden maakten Linux-gebruikers grappen over Windows-gebruikers vanwege hun beveiligingsproblemen. Een veelgehoorde grap was dat het enige virus dat we kenden het virus was van de kou die we opliepen. Koud als gevolg van buitenactiviteiten die zijn uitgevoerd in de tijd die niet is besteed aan formatteren en opnieuw opstarten.
Zoals het gebeurde met de biggetjes in het verhaal, onze veiligheid was slechts een gevoel. Toen Linux zijn weg vond naar de bedrijfswereld, vonden cybercriminelen manieren om de beveiligingen te omzeilen.
Waarom aanvallen tegen Linux toenemen
Toen ik de items aan het verzamelen was voor het saldo van 2021, was ik verrast dat er elke maand een rapport was over beveiligingsproblemen met betrekking tot Linux. Natuurlijk ligt een groot deel van de verantwoordelijkheid niet bij de ontwikkelaars, maar bij de systeembeheerders.. De meeste problemen zijn te wijten aan slecht geconfigureerde of beheerde infrastructuren.
ik ben het met je eens VMWare-onderzoekers op het gebied van cyberbeveiliging, cybercriminelen maakten van Linux het doelwit van hun aanvallen toen ze ontdekten dat Linux in de afgelopen vijf jaar het populairste besturingssysteem werd voor multicloud-omgevingen en is degene achter 78% van de meest populaire websites.
Een van de problemen is dat de meeste huidige anti-malware tegenmaatregelen focus vooral
bij het aanpakken van op Windows gebaseerde bedreigingen.
Publieke en private clouds zijn waardevolle doelwitten voor cybercriminelen, omdat ze toegang bieden tot infrastructuurdiensten en kritieke computerbronnen. Ze hosten belangrijke componenten, zoals e-mailservers en klantendatabases,
Deze aanvallen vinden plaats door misbruik te maken van zwakke authenticatiesystemen, kwetsbaarheden en verkeerde configuraties in op containers gebaseerde infrastructuren. om de omgeving te infiltreren met behulp van RAT's (Remote Access Tools).
Zodra aanvallers toegang hebben tot het systeem, kiezen ze meestal voor twee soorten aanvallen: eransomware uitvoeren of cryptominingcomponenten implementeren.
- Ransomware: bij dit type aanval komen criminelen een netwerk binnen en versleutelen ze bestanden.
- Crypto-mining: er zijn eigenlijk twee soorten aanvallen. In de eerste worden wallets gestolen die een applicatie simuleren op basis van cryptocurrencies en in de tweede worden de hardwarebronnen van de aangevallen computer gebruikt voor mining.
Hoe de aanvallen worden uitgevoerd?
Zodra de crimineel toegang krijgt tot een omgeving, Je moet een manier vinden om te profiteren van deze beperkte toegang om meer privileges te krijgen. Het eerste doel is om programma's op een gecompromitteerd systeem te installeren waarmee het gedeeltelijke controle over de machine kan krijgen.
Dit programma, bekend als een implantaat of baken, heeft tot doel regelmatige netwerkverbindingen tot stand te brengen met de commando- en controleserver om instructies te ontvangen en de resultaten te verzenden.
Er zijn twee manieren van verbinding met het implantaat; passief en actief
- Passief: het passieve implantaat wacht op een verbinding met een gecompromitteerde server.
- Actief: het implantaat is permanent verbonden met de command and control-server.
Onderzoek wijst uit dat implantaten in actieve modus het meest worden gebruikt.
Aanvallertactieken
Implantaten voeren vaak verkenningen uit op systemen in hun gebied. Bijvoorbeeld, ze kunnen een volledige set IP-adressen scannen om systeeminformatie te verzamelen en de bannergegevens van de TCP-poort te verkrijgen. Hierdoor kan het implantaat ook IP-adressen, hostnamen, actieve gebruikersaccounts en specifieke besturingssystemen en softwareversies van alle gedetecteerde systemen verzamelen.
De implantaten moeten zich kunnen verstoppen in geïnfecteerde systemen om hun werk te kunnen blijven doen. Daarvoor wordt het meestal weergegeven als een andere service of toepassing van het hostbesturingssysteem. In op Linux gebaseerde clouds worden ze gecamoufleerd als routinematige cron-taken. Op Unix-geïnspireerde systemen zoals Linux, stelt cron Linux-, macOS- en Unix-omgevingen in staat om processen zo te plannen dat ze met regelmatige tussenpozen worden uitgevoerd. Op deze manier kan de malware worden geïmplanteerd in een gecompromitteerd systeem met een herstartfrequentie van 15 minuten, zodat het opnieuw kan worden opgestart als het ooit wordt afgebroken.
systemd + cgrups + http2 + http3 + javascripts in pdf's….etc etc etc en ze vragen zich nog steeds af waarom de problemen begonnen??
Zoals je zegt, je faalt, of een heel junior probleem dat niet weet hoe je een systeem moet configureren of migreren van Windows dat 123456 lijkt te zijn voor complexe systemen, Linux is veilig maar niet intelligent om zijn eigen beveiliging te maken, ik denk dat het is allemaal nog een uitdaging die mensen in Windows overkomt omdat het hebben van een antivirus veilig aanvoelt, er wordt niet geleerd om veilig te zijn of hoe veilig te zijn wordt gezegd of dat het ons kwetsbaar maakt, dus het zou goed zijn in een artikel hoe te beschermen tegen deze dingen, hoe je veilige tekens kunt maken of een senha-codering kunt gebruiken met slechts één ... etc
Ik geloof dat met meer populariteit en meer aanvallen, de manier waarop je je team afschermt er ook toe doet.