Útoky proti Linuxu pribúdajú a my nie sme pripravení

Používatelia Linuxu si pred rokmi robili srandu z používateľov Windowsu pre ich bezpečnostné problémy. Bežným vtipom bolo, že jediný vírus, ktorý sme poznali, bol ten z prechladnutia, ktorý sme dostali. Chlad spôsobený vonkajšími aktivitami vykonávanými v čase, ktorý nestrávili formátovaním a reštartovaním.

Ako sa to stalo malým prasiatkam v príbehu, naša bezpečnosť bola len pocit. Keď sa Linux dostal do firemného sveta, počítačoví zločinci našli spôsoby, ako obísť jeho ochranu.

Prečo narastajú útoky proti Linuxu

Keď som zbieral veci pre bilancia roku 2021, prekvapilo ma, že každý mesiac sa objavila správa o bezpečnostných problémoch súvisiacich s Linuxom. Samozrejme, veľká časť zodpovednosti nie je na vývojároch, ale na systémových administrátoroch.. Väčšina problémov je spôsobená zle nakonfigurovanou alebo spravovanou infraštruktúrou.

Súhlasím s tebou Výskumníci kybernetickej bezpečnosti VMWare, počítačoví zločinci urobili z Linuxu cieľ svojich útokov, keď zistili, že za posledných päť rokov sa Linux stal najpopulárnejším operačným systémom pre multicloudové prostredia a stojí za 78 % najpopulárnejších webových stránok.

Jedným z problémov je, že väčšina súčasných protimalvérových protiopatrení zamerať sa hlavne
pri riešení hrozieb založených na systéme Windows.

Verejné a súkromné ​​​​cloudy sú vysokohodnotnými cieľmi pre kyberzločincov poskytovať prístup k infraštruktúrnym službám a kritickým výpočtovým zdrojom. Sú hostiteľmi kľúčových komponentov, ako sú e-mailové servery a databázy zákazníkov,

K týmto útokom dochádza využívaním slabých autentifikačných systémov, zraniteľností a nesprávnych konfigurácií v infraštruktúrach založených na kontajneroch. na infiltráciu prostredia pomocou nástrojov vzdialeného prístupu (RAT).

Keď útočníci vstúpia do systému, zvyčajne sa rozhodnú pre dva typy útokov: naprspustiť ransomvér alebo nasadiť komponenty na kryptomináciu.

• Ransomware: Pri tomto type útoku sa zločinci dostanú do siete a zašifrujú súbory.
• Ťažba kryptomien: V skutočnosti existujú dva typy útokov. V prvom sa kradnú peňaženky simulujúce aplikáciu založenú na kryptomenách a v druhom sa na ťažbu využívajú hardvérové ​​prostriedky napadnutého počítača.

Ako sa útoky vykonávajú

Keď zločinec získa počiatočný prístup do prostredia, Musíte nájsť spôsob, ako využiť tento obmedzený prístup, aby ste získali viac privilégií. Prvým cieľom je nainštalovať na napadnutý systém programy, ktoré mu umožnia získať čiastočnú kontrolu nad strojom.

Tento program, známy ako implantát alebo maják, má za cieľ vytvoriť pravidelné sieťové spojenia s príkazovým a riadiacim serverom na prijímanie pokynov a prenos výsledkov.

Existujú dva spôsoby spojenia s implantátom; pasívne a aktívne

• Pasívny: Pasívny implantát čaká na pripojenie k napadnutému serveru.
• Aktívny: Implantát je trvalo pripojený k príkazovému a riadiacemu serveru.

Výskum určuje, že implantáty v aktívnom režime sú najpoužívanejšie.

Taktika útočníka

Implantáty často vykonávajú prieskum systémov vo svojej oblasti. Napríklad, môžu skenovať celú sadu IP adries, aby zhromaždili systémové informácie a získali dáta bannera TCP portu. To môže tiež umožniť implantátu zhromažďovať IP adresy, názvy hostiteľov, aktívne používateľské účty a špecifické operačné systémy a verzie softvéru všetkých systémov, ktoré zistí.

Implantáty musia byť schopné skryť sa v infikovaných systémoch, aby mohli pokračovať vo svojej práci. Na tento účel sa zvyčajne zobrazuje ako iná služba alebo aplikácia hostiteľského operačného systému. V cloudoch založených na Linuxe sú maskované ako rutinné úlohy cron. Na systémoch inšpirovaných Unixom, ako je Linux, cron umožňuje prostrediam Linux, macOS a Unix naplánovať spustenie procesov v pravidelných intervaloch. Týmto spôsobom môže byť malvér implantovaný do napadnutého systému s frekvenciou reštartu 15 minút, takže ho možno reštartovať, ak sa niekedy preruší.