Linux'a yönelik saldırılar artıyor ve hazırlıklı değiliz

Yıllar önce Linux kullanıcıları, güvenlik sorunları nedeniyle Windows kullanıcılarıyla dalga geçerdi. Yaygın bir şaka, bildiğimiz tek virüsün yakaladığımız soğuk algınlığı olduğuydu. Biçimlendirme ve yeniden başlatma için harcanmayan sürede gerçekleştirilen dış mekan etkinliklerinden kaynaklanan soğuk.

Hikayedeki küçük domuzların başına geldiği gibi, güvenliğimiz sadece bir duyguydu. Linux kurumsal dünyaya girerken, siber suçlular korumalarını aşmanın yollarını buldular.

Linux'a yönelik saldırılar neden artıyor?

Eşyaları toplarken 2021 dengesi, Her ay Linux ile ilgili güvenlik sorunlarıyla ilgili bir raporun gelmesine şaşırdım. Tabii ki, sorumluluğun çoğu geliştiricilere değil, sistem yöneticilerine aittir.. Sorunların çoğu, kötü yapılandırılmış veya yönetilen altyapılardan kaynaklanmaktadır.

Size katılıyorum VMWare siber güvenlik araştırmacıları, Siber suçlular, Linux'un son beş yılda en popüler işletim sistemi haline geldiğini keşfettiklerinde Linux'u saldırılarının hedefi haline getirdiler. çoklu bulut ortamları içindir ve en popüler web sitelerinin %78'inin arkasındadır.

Sorunlardan biri, mevcut kötü amaçlı yazılımdan koruma önlemlerinin çoğunun esas olarak odaklanmak
Windows tabanlı tehditleri ele alırken.

Genel ve özel bulutlar, siber suçlular için yüksek değerli hedeflerdir. altyapı hizmetlerine ve kritik bilgi işlem kaynaklarına erişim sağlar. E-posta sunucuları ve müşteri veritabanları gibi önemli bileşenleri barındırırlar,

Bu saldırılar, kapsayıcı tabanlı altyapılardaki zayıf kimlik doğrulama sistemlerinden, güvenlik açıklarından ve yanlış yapılandırmalardan yararlanarak gerçekleşir. Uzaktan erişim araçlarını (RAT'ler) kullanarak çevreye sızmak.

Saldırganlar sisteme girdikten sonra, genellikle iki tür saldırıyı seçerler: efidye yazılımı çalıştırın veya şifreleme bileşenlerini dağıtın.

• Fidye Yazılım: Bu tür saldırılarda suçlular bir ağa girer ve dosyaları şifreler.
• Kripto madenciliği: Aslında iki tür saldırı vardır. İlkinde, cüzdanlar, kripto para birimlerine dayalı bir uygulamayı simüle ederek çalınır ve ikincisinde, saldırıya uğrayan bilgisayarın donanım kaynakları madencilik için kullanılır.

Saldırılar nasıl yapılıyor

Suçlu, bir ortama ilk erişim sağladığında, Daha fazla ayrıcalık elde etmek için bu sınırlı erişimden yararlanmanın bir yolunu bulmalısınız. İlk hedef, güvenliği ihlal edilmiş bir sisteme, makinenin kısmi kontrolünü ele geçirmesine izin veren programlar yüklemektir.

İmplant veya işaret olarak bilinen bu program, komutları almak ve sonuçları iletmek için komuta ve kontrol sunucusuna düzenli ağ bağlantıları kurmayı amaçlar..

İmplant ile bağlantının iki yolu vardır; pasif ve aktif

• Pasif: Pasif implant, güvenliği ihlal edilmiş bir sunucuya bağlantı bekler.
• Aktif: İmplant, komuta ve kontrol sunucusuna kalıcı olarak bağlıdır.

Araştırmalar, aktif moddaki implantların en çok kullanılanlar olduğunu belirler.

Saldırgan Taktikleri

İmplantlar genellikle kendi alanlarındaki sistemler üzerinde keşif gerçekleştirir. Örneğin, sistem bilgilerini toplamak ve TCP bağlantı noktası afiş verilerini almak için tam bir IP adresi kümesini tarayabilirler. Bu, implantın IP adreslerini, ana bilgisayar adlarını, aktif kullanıcı hesaplarını ve tespit ettiği tüm sistemlerin belirli işletim sistemlerini ve yazılım sürümlerini toplamasına da izin verebilir.

İmplantlar, işlerini yapmaya devam etmek için virüslü sistemler içinde saklanabilmelidir. Bunun için genellikle ana işletim sisteminin başka bir hizmeti veya uygulaması olarak gösterilir. Linux tabanlı bulutlarda, rutin cron işleri olarak kamufle edilirler. Linux gibi Unix'ten ilham alan sistemlerde cron, Linux, macOS ve Unix ortamlarının süreçleri düzenli aralıklarla çalışacak şekilde zamanlamasına olanak tanır. Bu şekilde, kötü amaçlı yazılım, 15 dakikalık yeniden başlatma sıklığıyla güvenliği ihlal edilmiş bir sisteme yerleştirilebilir, böylece iptal edilirse yeniden başlatılabilir.