Атаки проти Linux збільшуються, і ми не готові до цього

Багато років тому користувачі Linux висміяли користувачів Windows через їхні проблеми з безпекою. Поширеним жартом було те, що єдиний вірус, який ми знали, — це той вірус, який ми підхопили. Застуда в результаті активності на свіжому повітрі виконана за час, не витрачений на форматування та перезавантаження.

Як це сталося з маленькими поросятами в історії, наша безпека була лише відчуттям. Коли Linux пробивався в корпоративний світ, кіберзлочинці знаходили способи обійти його захист.

Чому зростає кількість атак на Linux

Коли я збирав предмети для баланс 2021 року, Мене здивувало, що щомісяця з’являвся звіт про проблеми безпеки, пов’язані з Linux. Звичайно, велика частина відповідальності лежить не на розробниках, а на системних адміністраторах.. Більшість проблем пов’язані з погано налаштованими або керованими інфраструктурами.

я погоджуюсь з тобою Дослідники кібербезпеки VMWare, Кіберзлочинці зробили Linux метою своїх атак, коли виявили, що за останні п’ять років Linux стала найпопулярнішою операційною системою. для мультихмарних середовищ і стоїть за 78% найпопулярніших веб-сайтів.

Однією з проблем є те, що більшість сучасних заходів протидії шкідливому програмному забезпеченню в основному зосередитися
у вирішенні загроз на базі Windows.

Загальнодоступні та приватні хмари є високоцінними мішенями для кіберзлочинців, оскільки вони забезпечити доступ до інфраструктурних послуг і критичних обчислювальних ресурсів. Вони розміщують ключові компоненти, такі як сервери електронної пошти та бази даних клієнтів,

Ці атаки відбуваються шляхом використання слабких систем аутентифікації, вразливостей та неправильної конфігурації в контейнерних інфраструктурах. проникнути в середовище за допомогою засобів віддаленого доступу (RAT).

Після того, як зловмисники потрапили в систему, вони зазвичай вибирають два типи атак: eзапускати програми-вимагачі або розгортати компоненти криптомайнинга.

• Програми-вимагачі: під час цього типу атаки зловмисники входять в мережу і шифрують файли.
• Майнінг криптовалют: насправді є два типи атак. У першому викрадають гаманці, що імітують додаток на основі криптовалюти, а в другому – апаратні ресурси атакуваного комп’ютера використовуються для майнінгу.

Як здійснюються атаки

Як тільки злочинець отримує початковий доступ до середовища, Ви повинні знайти спосіб скористатися цим обмеженим доступом, щоб отримати більше привілеїв. Перша мета — встановити програми на зламану систему, які дозволять їй частково контролювати машину.

Ця програма, відома як імплант або маяк, має на меті встановити регулярні мережеві з'єднання з сервером командування та управління для отримання інструкцій та передачі результатів.

Є два способи з’єднання з імплантатом; пасивні та активні

• Пасивний: пасивний імплант очікує підключення до зламаного сервера.
• Активний: імплантат постійно підключений до сервера командування та управління.

Дослідження показують, що імплантати в активному режимі є найбільш використовуваними.

Тактика нападника

Імплантати часто проводять розвідку систем у своїй зоні. Наприклад, вони можуть сканувати повний набір IP-адрес для збору системної інформації та отримання даних банера порту TCP. Це також може дозволити імплантату збирати IP-адреси, імена хостів, активні облікові записи користувачів, а також конкретні операційні системи та версії програмного забезпечення всіх систем, які він виявляє.

Імплантати повинні мати можливість ховатися в заражених системах, щоб продовжувати виконувати свою роботу. Для цього він зазвичай відображається як інший сервіс або додаток основної операційної системи. У хмарах на базі Linux вони маскуються як рутинні роботи cron. У системах, натхненних Unix, таких як Linux, cron дозволяє середовищам Linux, macOS та Unix планувати запуск процесів через регулярні проміжки часу. Таким чином, зловмисне програмне забезпечення можна імплантувати в зламану систему з частотою перезавантаження 15 хвилин, тож його можна перезавантажити, якщо воно коли-небудь буде перервано.