Attackerna mot Linux ökar och vi är inte förberedda

För flera år sedan gjorde Linux-användare narr av Windows-användare för deras säkerhetsproblem. Ett vanligt skämt var att det enda virus vi kände till var förkylningen vi fick. Kyla till följd av utomhusaktiviteter under tiden som inte ägnats åt formatering och omstart.

Som det hände med de små grisarna i berättelsen, vår säkerhet var bara en känsla. När Linux fick fotfäste i företagssektorn hittade hackare sätt att kringgå dess skydd.

Varför attacker mot Linux ökar

När jag samlade in föremålen för balansen 2021, jag blev förvånad över att det varje månad fanns en information om säkerhetsproblem relaterade till Linux. Självklart att en stor del av ansvaret inte ligger hos utvecklarna utan hos systemadministratörerna. De flesta av problemen beror på dåligt konfigurerade eller hanterade infrastrukturer.

jag håller med dig VMWare cybersäkerhetsforskare, hackare riktade sig mot Linux när de upptäckte att Linux under de senaste fem åren hade blivit det populäraste operativsystemet för multicloud-miljöer och ligger bakom 78% av de mest populära webbplatserna.

Ett av problemen är att de flesta av de nuvarande motåtgärderna mot skadlig programvara är främst fokuserade
för att hantera Windows-baserade hot.

Offentliga och privata moln är värdefulla mål för cyberbrottslingar, eftersom de ge tillgång till kritiska infrastrukturtjänster och datorresurser. De är värd för nyckelkomponenter, såsom e-postservrar och kunddatabaser,

Dessa attacker produceras genom att dra fördel av svaga autentiseringssystem, sårbarheter och felkonfigurationer i containerbaserade infrastrukturer. för att infiltrera miljön med hjälp av fjärråtkomstverktyg (RAT).

När angripare väl har kommit in i systemet väljer de vanligtvis två typer av attacker: eköra ransomware eller implementera kryptomineringskomponenter.

• Ransomware: I denna typ av attack bryter kriminella sig in i ett nätverk och krypterar filer.
• Kryptominering: Det finns faktiskt två typer av attacker. I den första stjäls plånböcker som simulerar en applikation baserad på kryptovalutor och i den andra används den attackerade datorns hårdvaruresurser för gruvdrift.

Hur attacker utförs

När brottslingen väl lyckas få första tillgång till en miljö, du måste hitta ett sätt att dra fördel av denna begränsade åtkomst för att få fler privilegier. Det första målet är att installera program på ett komprometterat system som låter dig få partiell kontroll över maskinen.

Detta program, känt som ett implantat eller ledstjärna, syftar till att upprätta regelbundna nätverksanslutningar till kommando- och kontrollservern för att ta emot instruktioner och överföra resultat.

Det finns två sätt att ansluta till implantatet; passiv och aktiv

• Passiv: Det passiva implantatet väntar på anslutning till en komprometterad server.
• Aktivt: Implantatet är permanent anslutet till kommando- och kontrollservern.

Forskning visar att implantat i aktivt läge är de mest använda.

Attacker taktik

Implantat utför ofta spaningssystem i sitt område. Till exempel, de kan skanna en komplett uppsättning IP-adresser för att samla in systeminformation och få TCP-portbannerdata. Detta kan också tillåta implantatet att samla in IP-adresser, värdnamn, aktiva användarkonton och specifika operativsystem och mjukvaruversioner av alla system som det upptäcker.

Implantaten måste kunna gömma sig inuti infekterade system för att fortsätta göra sitt jobb. För det visas det vanligtvis som en annan tjänst eller tillämpning av värdoperativsystemet. I Linux-baserade moln är de förklädda som rutinmässiga cron-jobb. På Unix-inspirerade system som Linux tillåter cron Linux-, macOS- och Unix-miljöer att schemalägga processer så att de körs med jämna mellanrum. På så sätt kan den skadliga programvaran implantera sig själv på ett komprometterat system med en omstartsfrekvens på 15 minuter, så det kan startas om om det någonsin avbryts.