Несколько лет назад пользователи Linux высмеивали пользователей Windows за их проблемы с безопасностью. Распространенной шуткой было то, что единственный вирус, который мы знали, был вирусом простуды, которую мы подхватили. Холод в результате активного отдыха выполняется за время, не потраченное на форматирование и перезагрузку.
Как это случилось с поросятами в сказке, наша безопасность была просто ощущением. Когда Linux проник в корпоративный мир, киберпреступники нашли способы обойти его защиту.
Почему число атак на Linux увеличивается
Когда я собирал предметы для остаток на 2021 год, я был удивлен, что каждый месяц появляется отчет о проблемах безопасности, связанных с Linux. Конечно, большая часть ответственности лежит не на разработчиках, а на системных администраторах.. Большинство проблем связано с плохой настройкой или плохо управляемой инфраструктурой.
Согласно Исследователи кибербезопасности VMWare, Киберпреступники сделали Linux целью своих атак, когда обнаружили, что за последние пять лет Linux стала самой популярной операционной системой. для многооблачных сред и стоит за 78% самых популярных веб-сайтов.
Одна из проблем заключается в том, что большинство современных средств противодействия вредоносным программам сосредоточиться в основном
в борьбе с угрозами для Windows.
Публичные и частные облака являются важными целями для киберпреступников, поскольку они предоставлять доступ к инфраструктурным сервисам и критически важным вычислительным ресурсам. На них размещаются ключевые компоненты, такие как серверы электронной почты и базы данных клиентов.
Эти атаки происходят путем использования слабых систем аутентификации, уязвимостей и неправильных конфигураций в инфраструктурах на основе контейнеров. проникать в окружающую среду с помощью средств удаленного доступа (RAT).
Как только злоумышленники получают доступ к системе, они обычно выбирают два типа атак: eзапустить программы-вымогатели или развернуть компоненты криптомайнинга.
- Программа-вымогатель: при этом типе атаки преступники проникают в сеть и шифруют файлы.
- Крипто-майнинг: на самом деле существует два типа атак. В первом крадут кошельки, имитирующие приложение на основе криптовалюты, а во втором аппаратные ресурсы атакуемого компьютера используются для майнинга.
Как проводятся атаки
Как только преступник получает первоначальный доступ к окружающей среде, Вы должны найти способ воспользоваться этим ограниченным доступом, чтобы получить больше привилегий. Первая цель — установить на скомпрометированную систему программы, которые позволят ей получить частичный контроль над машиной.
Эта программа, известная как имплант или маяк, направлен на установление регулярных сетевых подключений к серверу управления и контроля для получения инструкций и передачи результатов.
Существует два способа соединения с имплантатом; пассивный и активный
- Пассивный: пассивный имплантат ожидает подключения к скомпрометированному серверу.
- Активный: Имплантат постоянно подключен к серверу управления и контроля.
Исследования показывают, что чаще всего используются имплантаты в активном режиме.
Тактика атакующего
Имплантаты часто проводят разведку систем в своей области. Например, они могут сканировать полный набор IP-адресов для сбора системной информации и получения данных заголовка TCP-порта. Это также может позволить имплантату собирать IP-адреса, имена хостов, активные учетные записи пользователей, а также определенные операционные системы и версии программного обеспечения всех систем, которые он обнаруживает.
Имплантаты должны уметь прятаться в зараженных системах, чтобы продолжать выполнять свою работу. Для этого он обычно отображается как другая служба или приложение операционной системы хоста. В облаках на базе Linux они маскируются под обычные задания cron. В системах, вдохновленных Unix, таких как Linux, cron позволяет средам Linux, macOS и Unix планировать запуск процессов через равные промежутки времени. Таким образом, вредоносное ПО может быть внедрено в скомпрометированную систему с частотой перезагрузки 15 минут, поэтому ее можно будет перезагрузить, если она когда-либо будет прервана.
systemd + cgrups + http2 + http3 + javascripts в pdf….etc и т.д и т.д и они до сих пор удивляются почему начались проблемы??
Как вы говорите, вы терпите неудачу или очень младшая проблема, которая не знает, как настроить систему или мигрировать с Windows, которая кажется 123456 для сложных систем, Linux безопасен, но не умен, чтобы сделать свою собственную безопасность, я думаю, что это все еще одна проблема, которая происходит в Windows с людьми из-за того, что антивирус чувствует себя в безопасности, его не учат быть в безопасности или говорят, как быть в безопасности, или что он делает нас уязвимыми, поэтому было бы хорошо в статье, как защитить от эти вещи, как сделать безопасные знаки или использовать шифрование senha только с одним… и т. д.
Я считаю, что с большей популярностью и большим количеством атак, то, как вы защищаете свою команду, также имеет значение.