Os ataques contra o Linux estão aumentando e não estamos preparados

Diego Germán González

Minutos 4

Ataques contra o Linux estão em ascensão

Anos atrás, os usuários do Linux zombavam dos usuários do Windows por seus problemas de segurança. Uma piada comum era que o único vírus que conhecíamos era o do resfriado que pegamos. Frio resultante de atividades ao ar livre realizadas no tempo não gasto na formatação e reinicialização.

Como aconteceu com os porquinhos da história, nossa segurança era apenas um sentimento. À medida que o Linux entrou no mundo corporativo, os cibercriminosos encontraram maneiras de contornar suas proteções.

Por que os ataques contra o Linux estão aumentando

Quando eu estava coletando os itens para saldo de 2021, fiquei surpreso que todo mês havia um relatório sobre problemas de segurança relacionados ao Linux. É claro que grande parte da responsabilidade não é dos desenvolvedores, mas dos administradores do sistema.. A maioria dos problemas se deve a infraestruturas mal configuradas ou gerenciadas.

De acordo com o Pesquisadores de segurança cibernética da VMWare, cibercriminosos fizeram do Linux o alvo de seus ataques quando descobriram que, nos últimos cinco anos, o Linux se tornou o sistema operacional mais popular para ambientes multicloud e está por trás de 78% dos sites mais populares.

Um dos problemas é que a maioria das contramedidas anti-malware atuais focar principalmente
no tratamento de ameaças baseadas no Windows.

Nuvens públicas e privadas são alvos de alto valor para os cibercriminosos, pois fornecer acesso a serviços de infraestrutura e recursos computacionais críticos. Eles hospedam componentes-chave, como servidores de e-mail e bancos de dados de clientes,

Esses ataques ocorrem explorando sistemas de autenticação fracos, vulnerabilidades e configurações incorretas em infraestruturas baseadas em contêiner. para se infiltrar no ambiente usando ferramentas de acesso remoto (RATs).

Uma vez que os invasores conseguiram entrar no sistema, eles normalmente optam por dois tipos de ataques: eexecute ransomware ou implante componentes de criptomineração.

  • Ransomware: Nesse tipo de ataque, os criminosos entram em uma rede e criptografam os arquivos.
  • Mineração de criptografia: Na verdade, existem dois tipos de ataques. Na primeira, as carteiras são roubadas simulando uma aplicação baseada em criptomoedas e na segunda, os recursos de hardware do computador atacado são usados ​​para mineração.

Como os ataques são realizados

Uma vez que o criminoso obtém acesso inicial a um ambiente, Você deve encontrar uma maneira de aproveitar esse acesso limitado para obter mais privilégios. O primeiro objetivo é instalar programas em um sistema comprometido que permita obter controle parcial da máquina.

Este programa, conhecido como implante ou farol, visa estabelecer conexões regulares de rede com o servidor de comando e controle para receber instruções e transmitir os resultados.

Existem duas formas de conexão com o implante; passivo e ativo

  • Passivo: O implante passivo aguarda uma conexão com um servidor comprometido.
  • Ativo: O implante está permanentemente conectado ao servidor de comando e controle.

Pesquisas determinam que os implantes em modo ativo são os mais utilizados.

Táticas do atacante

Os implantes geralmente realizam reconhecimento em sistemas em sua área. Por exemplo, eles podem varrer um conjunto completo de endereços IP para coletar informações do sistema e obter dados do banner da porta TCP. Isso também pode permitir que o implante colete endereços IP, nomes de host, contas de usuário ativas e sistemas operacionais específicos e versões de software de todos os sistemas detectados.

Os implantes precisam ser capazes de se esconder dentro de sistemas infectados para continuar fazendo seu trabalho. Para isso, geralmente é mostrado como outro serviço ou aplicativo do sistema operacional do host. Em nuvens baseadas em Linux, eles são camuflados como cron jobs de rotina. Em sistemas inspirados em Unix, como Linux, o cron permite que ambientes Linux, macOS e Unix agendem processos para serem executados em intervalos regulares. Dessa forma, o malware pode ser implantado em um sistema comprometido com uma frequência de reinicialização de 15 minutos, para que possa ser reinicializado se for abortado.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   juancito dito
    atrás Anos 2

    systemd + cgrups + http2 + http3 + javascripts em pdfs….etc etc etc e eles ainda se perguntam por que os problemas começaram??

    Responder a Juancito
  2.   Adrian dito
    atrás Anos 2

    Como você diz, você falha, ou um problema muito júnior que não sabe configurar um sistema ou migrar do Windows que parece ser 123456 para sistemas complexos, o Linux é seguro, mas não é inteligente para fazer sua própria segurança, acho que é tudo mais um desafio que acontece no Windows para as pessoas por ter um antivírus parece seguro, não é ensinado a ser seguro ou como ser seguro é dito ou nos deixa vulneráveis, então seria bom em um artigo como se proteger contra essas coisas, como fazer sinais seguros ou usar uma criptografia de senha com apenas um…etc

    Responder a Adrian
  3.   Albert dito
    atrás Anos 2

    Acho que com mais popularidade e mais ataques, a maneira como você protege seu time também importa.

    Responder a albert