Ataki na Linuksa rosną, a my nie jesteśmy na to przygotowani

Diego Germán González

4 minut

Wzrasta liczba ataków na Linuksa

Wiele lat temu użytkownicy Linuksa wyśmiewali użytkowników Windowsa z powodu ich problemów z bezpieczeństwem. Powszechnym żartem było, że jedynym wirusem, którego znaliśmy, był ten z przeziębienia, które złapaliśmy. Zimno wynikające z aktywności na świeżym powietrzu wykonywanych w czasie nie spędzonym na formatowaniu i ponownym uruchamianiu.

Jak to się stało z małymi świniami w historii, nasze bezpieczeństwo było tylko uczuciem. Gdy Linux wkroczył do świata korporacji, cyberprzestępcy znaleźli sposoby na obejście jego zabezpieczeń.

Dlaczego ataki na Linuksa rosną

Kiedy zbierałem przedmioty dla bilans 2021, byłem zaskoczony, że co miesiąc pojawiał się raport o kwestiach bezpieczeństwa związanych z Linuksem. Oczywiście duża część odpowiedzialności nie spoczywa na programistach, ale na administratorach systemu.. Większość problemów wynika ze źle skonfigurowanej lub zarządzanej infrastruktury.

zgadzam się z Tobą Badacze cyberbezpieczeństwa VMWare, cyberprzestępcy uczynili Linuxa celem swoich ataków, gdy odkryli, że w ciągu ostatnich pięciu lat Linux stał się najpopularniejszym systemem operacyjnym dla środowisk multicloud i jest jedną z 78% najpopularniejszych witryn.

Jednym z problemów jest to, że większość obecnych środków zapobiegających złośliwemu oprogramowaniu skup się głównie
w rozwiązywaniu zagrożeń dla systemu Windows.

Chmury publiczne i prywatne są ważnymi celami dla cyberprzestępców, ponieważ: zapewnić dostęp do usług infrastrukturalnych i krytycznych zasobów obliczeniowych. Hostują kluczowe komponenty, takie jak serwery pocztowe i bazy danych klientów,

Ataki te następują poprzez wykorzystywanie słabych systemów uwierzytelniania, luk w zabezpieczeniach i błędnych konfiguracji w infrastrukturach opartych na kontenerach. do infiltracji środowiska za pomocą narzędzi zdalnego dostępu (RAT).

Gdy atakujący uzyskają dostęp do systemu, zazwyczaj wybierają dwa rodzaje ataków: euruchom oprogramowanie ransomware lub wdróż komponenty do wydobywania kryptowalut.

  • Ransomware: podczas tego typu ataku przestępcy wchodzą do sieci i szyfrują pliki.
  • Wydobywanie kryptowalut: W rzeczywistości istnieją dwa rodzaje ataków. W pierwszym kradzione są portfele symulujące aplikację opartą na kryptowalutach, a w drugim do kopania wykorzystywane są zasoby sprzętowe zaatakowanego komputera.

Jak przeprowadzane są ataki

Gdy przestępca uzyska wstępny dostęp do środowiska, Musisz znaleźć sposób, aby skorzystać z tego ograniczonego dostępu, aby uzyskać więcej przywilejów. Pierwszym celem jest zainstalowanie programów w zaatakowanym systemie, które pozwolą mu uzyskać częściową kontrolę nad maszyną.

Ten program, znany jako implant lub beacon, ma na celu nawiązanie regularnych połączeń sieciowych z serwerem dowodzenia i kontroli w celu otrzymywania instrukcji i przesyłania wyników.

Istnieją dwa sposoby połączenia z implantem; pasywny i aktywny

  • Pasywny: pasywny implant czeka na połączenie z zaatakowanym serwerem.
  • Aktywny: implant jest na stałe połączony z serwerem dowodzenia i kontroli.

Badania wskazują, że najczęściej używane są implanty w trybie aktywnym.

Taktyka atakującego

Implanty często dokonują rekonesansu systemów na swoim terenie. Na przykład, mogą skanować pełny zestaw adresów IP, aby zebrać informacje o systemie i uzyskać dane banera portu TCP. Może to również umożliwić implantowi zbieranie adresów IP, nazw hostów, aktywnych kont użytkowników oraz określonych systemów operacyjnych i wersji oprogramowania wszystkich wykrytych systemów.

Implanty muszą być w stanie ukryć się w zainfekowanych systemach, aby kontynuować swoją pracę. W tym celu jest zwykle pokazywany jako kolejna usługa lub aplikacja systemu operacyjnego hosta. W chmurach opartych na Linuksie są one zakamuflowane jako rutynowe zadania cron. W systemach inspirowanych Uniksem, takich jak Linux, cron umożliwia środowiskom Linux, macOS i Unix planowanie procesów w regularnych odstępach czasu. W ten sposób złośliwe oprogramowanie może zostać wszczepione do zaatakowanego systemu z częstotliwością ponownego uruchamiania wynoszącą 15 minut, więc może zostać ponownie uruchomione, jeśli kiedykolwiek zostanie przerwane.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Juancito powiedział
    temu 2 roku

    systemd + cgrups + http2 + http3 + javascripts w plikach pdf….etc itp. itd. I nadal zastanawiają się, dlaczego zaczęły się problemy?

    Odpowiedz juancito
  2.   Adrian powiedział
    temu 2 roku

    Jak mówisz, nie udaje ci się, lub bardzo młodszy problem, który nie wie, jak skonfigurować system lub migrować z systemu Windows, który wydaje się być 123456 dla złożonych systemów, Linux jest bezpieczny, ale nie inteligentny, aby tworzyć własne zabezpieczenia, myślę, że jest jeszcze jedno wyzwanie, które spotyka ludzi w systemie Windows, ponieważ posiadanie programu antywirusowego jest bezpieczne, nie uczy się go, aby być bezpiecznym lub mówi się, jak być bezpiecznym lub że naraża nas na podatność, więc dobrze byłoby w artykule, jak chronić się przed te rzeczy, jak zrobić bezpieczne znaki lub użyć szyfrowania senha za pomocą tylko jednego… itd.

    Odpowiedz Adrianowi
  3.   Albert powiedział
    temu 2 roku

    Uważam, że przy większej popularności i większej liczbie ataków sposób, w jaki osłaniasz swoją drużynę, również ma znaczenie.

    Odpowiedz Albertowi