Напади на Линук су у порасту, а ми нисмо спремни

Пре много година, корисници Линука исмевали су кориснике Виндовс-а због њихових безбедносних проблема. Уобичајена шала је била да је једини вирус који смо познавали био онај од прехладе коју смо добили. Хладноћа која је резултат активности на отвореном које се обављају у времену које није утрошено на форматирање и поновно покретање.

Као што се догодило малим прасићима у причи, наша сигурност је била само осећај. Како се Линук пробијао у корпоративни свет, сајбер криминалци су пронашли начине да заобиђу његову заштиту.

Зашто се напади на Линук повећавају

Када сам сакупљао предмете за биланс 2021, био сам изненађен што је сваког месеца био извештај о безбедносним питањима везаним за Линук. Наравно, велики део одговорности није на програмерима већ на администраторима система.. Већина проблема је због лоше конфигурисане инфраструктуре или којом се управља.

Слажем се са тобом ВМВаре истраживачи сајбер безбедности, сајбер криминалци су Линукс учинили метом својих напада када су открили да је у последњих пет година Линук постао најпопуларнији оперативни систем за мултицлоуд окружења и стоји иза 78% најпопуларнијих веб локација.

Један од проблема је што су најсавременије мере против малвера фокус углавном
у решавању претњи заснованих на Виндовс-у.

Јавни и приватни облаци су мете високе вредности за сајбер криминалце обезбеди приступ инфраструктурним услугама и критичним рачунарским ресурсима. Они хостују кључне компоненте, као што су сервери е-поште и базе података клијената,

Ови напади се дешавају искоришћавањем слабих система за аутентификацију, рањивости и погрешних конфигурација у инфраструктурама заснованим на контејнерима. да се инфилтрирају у окружење користећи алате за даљински приступ (РАТ).

Када нападачи уђу у систем, обично се одлучују за две врсте напада: епокренути рансомваре или применити компоненте за криптоминирање.

• Рансомваре: У овој врсти напада, криминалци улазе у мрежу и шифрују датотеке.
• Крипто рударење: Постоје заправо две врсте напада. У првом се краду новчаници који симулирају апликацију засновану на криптовалутама, ау другом се хардверски ресурси нападнутог рачунара користе за рударење.

Како се напади изводе

Када криминалац добије почетни приступ окружењу, Морате пронаћи начин да искористите овај ограничени приступ да бисте стекли више привилегија. Први циљ је инсталирање програма на компромитовани систем који му омогућавају да стекне делимичну контролу над машином.

Овај програм, познат као имплант или светионик, има за циљ да успостави редовне мрежне везе са командним и контролним сервером ради примања инструкција и преноса резултата.

Постоје два начина повезивања са имплантом; пасивно и активно

• Пасивно: Пасивни имплант чека везу са компромитованим сервером.
• Активан: Имплант је трајно повезан са командним и контролним сервером.

Истраживање је показало да се најчешће користе имплантати у активном режиму.

Тактика нападача

Имплантати често врше извиђање система у свом подручју. На пример, они могу да скенирају цео скуп ИП адреса како би прикупили информације о систему и добили податке о банеру ТЦП порта. Ово такође може омогућити имплантату да прикупља ИП адресе, имена хостова, активне корисничке налоге и специфичне оперативне системе и верзије софтвера свих система које детектује.

Имплантати морају бити у стању да се сакрију у зараженим системима да би наставили да раде свој посао. За то се обично приказује као друга услуга или апликација главног оперативног система. У облацима заснованим на Линук-у они су камуфлирани као рутински црон послови. На системима инспирисаним Уник-ом као што је Линук, црон омогућава Линук, мацОС и Уник окружењима да планирају процесе који ће се покренути у редовним интервалима. На овај начин, малвер се може имплантирати у компромитовани систем са фреквенцијом поновног покретања од 15 минута, тако да се може поново покренути ако се икада прекине.