หลายปีก่อน ผู้ใช้ Linux ได้ล้อผู้ใช้ Windows ในเรื่องปัญหาด้านความปลอดภัย เรื่องตลกที่พบบ่อยคือไวรัสตัวเดียวที่เรารู้จักคือไวรัสที่เราจับได้ ความเย็นที่เกิดจากกิจกรรมกลางแจ้งที่ทำในเวลาที่ไม่ได้ใช้การฟอร์แมตและรีบูต
อย่างที่เกิดขึ้นกับเจ้าหมูน้อยในเรื่อง ความปลอดภัยของเราเป็นเพียงความรู้สึก เมื่อลินุกซ์เข้าสู่โลกธุรกิจ อาชญากรไซเบอร์ก็พบวิธีหลบเลี่ยงการปกป้องของตน
เหตุใดการโจมตี Linux จึงเพิ่มขึ้น
เมื่อผมกำลังรวบรวมรายการสำหรับ ยอดคงเหลือปี 2021ฉันรู้สึกประหลาดใจที่มีรายงานปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับ Linux ทุกเดือน แน่นอนว่าความรับผิดชอบส่วนใหญ่ไม่ได้อยู่ที่นักพัฒนา แต่อยู่ที่ผู้ดูแลระบบ. ปัญหาส่วนใหญ่เกิดจากโครงสร้างพื้นฐานที่มีการกำหนดค่าหรือจัดการไม่ดี
ฉันเห็นด้วยกับคุณ นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ VMWare, อาชญากรไซเบอร์ทำให้ Linux เป็นเป้าหมายของการโจมตีเมื่อพบว่าในช่วง XNUMX ปีที่ผ่านมา Linux กลายเป็นระบบปฏิบัติการที่ได้รับความนิยมมากที่สุด สำหรับสภาพแวดล้อมแบบมัลติคลาวด์และเป็นผู้อยู่เบื้องหลัง 78% ของเว็บไซต์ยอดนิยมที่สุด
ปัญหาหนึ่งก็คือมาตรการต่อต้านมัลแวร์ในปัจจุบันส่วนใหญ่ เน้นเป็นหลัก
ในการจัดการกับภัยคุกคามบน Windows
คลาวด์สาธารณะและส่วนตัวเป็นเป้าหมายที่มีมูลค่าสูงสำหรับอาชญากรไซเบอร์ เนื่องจากพวกเขา ให้การเข้าถึงบริการโครงสร้างพื้นฐานและทรัพยากรการคำนวณที่สำคัญ พวกเขาโฮสต์องค์ประกอบหลักเช่นเซิร์ฟเวอร์อีเมลและฐานข้อมูลลูกค้า
การโจมตีเหล่านี้เกิดขึ้นจากการใช้ประโยชน์จากระบบการพิสูจน์ตัวตนที่อ่อนแอ ช่องโหว่ และการกำหนดค่าที่ไม่ถูกต้องในโครงสร้างพื้นฐานที่ใช้คอนเทนเนอร์ เพื่อแทรกซึมเข้าไปในสภาพแวดล้อมโดยใช้เครื่องมือการเข้าถึงระยะไกล (RAT)
เมื่อผู้โจมตีได้เข้าสู่ระบบแล้ว พวกเขามักจะเลือกการโจมตีสองประเภท: eเรียกใช้ ransomware หรือปรับใช้ส่วนประกอบ cryptomining
- แรนซัมแวร์: ในการโจมตีประเภทนี้ อาชญากรจะเข้าสู่เครือข่ายและเข้ารหัสไฟล์
- การขุด Crypto: จริง ๆ แล้วมีการโจมตีสองประเภท ในตอนแรก กระเป๋าเงินจะถูกขโมยโดยจำลองแอปพลิเคชันตามสกุลเงินดิจิตอล และในอย่างที่สอง ทรัพยากรฮาร์ดแวร์ของคอมพิวเตอร์ที่ถูกโจมตีจะถูกใช้สำหรับการขุด
การโจมตีเกิดขึ้นได้อย่างไร
เมื่ออาชญากรเข้าถึงสภาพแวดล้อมได้ในระยะแรก คุณต้องหาวิธีใช้ประโยชน์จากการเข้าถึงที่จำกัดนี้เพื่อรับสิทธิ์เพิ่มเติม เป้าหมายแรกคือการติดตั้งโปรแกรมบนระบบที่ถูกบุกรุกเพื่อให้สามารถควบคุมเครื่องได้บางส่วน
โปรแกรมนี้เรียกว่ารากฟันเทียมหรือบีคอน มีวัตถุประสงค์เพื่อสร้างการเชื่อมต่อเครือข่ายปกติกับเซิร์ฟเวอร์คำสั่งและควบคุมเพื่อรับคำแนะนำและส่งผลลัพธ์.
มีสองวิธีในการเชื่อมต่อกับรากฟันเทียม แบบพาสซีฟและแอคทีฟ
- Passive: รากฟันเทียมแบบพาสซีฟรอการเชื่อมต่อกับเซิร์ฟเวอร์ที่ถูกบุกรุก
- ใช้งานอยู่: รากฟันเทียมเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุมอย่างถาวร
การวิจัยระบุว่าการปลูกถ่ายในโหมดแอ็คทีฟเป็นวิธีที่ใช้มากที่สุด
กลยุทธ์การโจมตี
รากฟันเทียมมักจะทำการสอดแนมระบบในพื้นที่ของตน ตัวอย่างเช่น, พวกเขาสามารถสแกนชุดที่อยู่ IP ทั้งหมดเพื่อรวบรวมข้อมูลระบบและรับข้อมูลแบนเนอร์พอร์ต TCP นอกจากนี้ยังอาจอนุญาตให้รากเทียมรวบรวมที่อยู่ IP ชื่อโฮสต์ บัญชีผู้ใช้ที่ใช้งานอยู่ และระบบปฏิบัติการเฉพาะและเวอร์ชันซอฟต์แวร์ของระบบทั้งหมดที่ตรวจพบ
รากฟันเทียมจะต้องสามารถซ่อนอยู่ภายในระบบที่ติดเชื้อเพื่อทำงานต่อไปได้ สำหรับสิ่งนั้น มักจะแสดงเป็นบริการหรือแอปพลิเคชันอื่นของระบบปฏิบัติการโฮสต์ ในระบบคลาวด์บน Linux พวกมันจะถูกอำพรางเป็นงาน cron ตามปกติ บนระบบที่ได้รับแรงบันดาลใจจาก Unix เช่น Linux นั้น cron อนุญาตให้สภาพแวดล้อม Linux, macOS และ Unix กำหนดเวลาให้กระบวนการทำงานตามช่วงเวลาปกติ ด้วยวิธีนี้ มัลแวร์สามารถฝังลงในระบบที่ถูกบุกรุกด้วยความถี่ในการรีบูต 15 นาที ดังนั้นจึงสามารถรีบูตได้หากมีการยกเลิก
systemd + cgrups + http2 + http3 + javascripts ใน pdfs …. ฯลฯ ฯลฯ และพวกเขายังคงสงสัยว่าทำไมปัญหาจึงเริ่มขึ้น ??
อย่างที่คุณพูด คุณล้มเหลว หรือปัญหาที่เล็กมากที่ไม่รู้วิธีกำหนดค่าระบบหรือโยกย้ายจาก Windows ที่ดูเหมือน 123456 สำหรับระบบที่ซับซ้อน Linux ปลอดภัยแต่ไม่ฉลาดที่จะสร้างความปลอดภัยของตัวเอง ฉันคิดว่ามันเป็น อีกหนึ่งความท้าทายที่เกิดขึ้นใน Windows กับคนที่มี Antivirus รู้สึกปลอดภัย ไม่ได้รับการสอนให้ปลอดภัย หรือ ทำอย่างไรถึงจะปลอดภัย หรือบอกว่ามันทำให้เราเปราะบางได้ ดังนั้น คงจะดีในบทความวิธีการป้องกัน สิ่งเหล่านี้ วิธีสร้างสัญญาณที่ปลอดภัย หรือใช้การเข้ารหัส Senha เพียงอันเดียว…ฯลฯ
ฉันคิดว่าด้วยความนิยมและการโจมตีที่มากขึ้น วิธีที่คุณปกป้องทีมของคุณก็มีความสำคัญเช่นกัน