Nhiều năm trước, người dùng Linux đã chế giễu người dùng Windows vì các vấn đề bảo mật của họ. Một trò đùa phổ biến là loại vi-rút duy nhất mà chúng tôi biết là loại vi-rút do cảm lạnh mà chúng tôi mắc phải. Lạnh do các hoạt động ngoài trời thực hiện trong thời gian không định dạng và khởi động lại.
Như đã xảy ra với những chú lợn nhỏ trong câu chuyện, sự an toàn của chúng tôi chỉ là một cảm giác. Khi Linux thâm nhập vào thế giới doanh nghiệp, tội phạm mạng đã tìm ra nhiều cách để phá vỡ các biện pháp bảo vệ của nó.
Tại sao các cuộc tấn công chống lại Linux ngày càng gia tăng
Khi tôi thu thập các mặt hàng cho số dư của năm 2021, Tôi rất ngạc nhiên khi hàng tháng đều có báo cáo về các vấn đề bảo mật liên quan đến Linux. Tất nhiên, phần lớn trách nhiệm không thuộc về các nhà phát triển mà là ở các quản trị viên hệ thống.. Hầu hết các vấn đề là do cơ sở hạ tầng được cấu hình hoặc quản lý kém.
tôi đồng ý với bạn Các nhà nghiên cứu an ninh mạng của VMWare, tội phạm mạng đã biến Linux trở thành mục tiêu tấn công của chúng khi chúng phát hiện ra rằng, trong XNUMX năm qua, Linux đã trở thành hệ điều hành phổ biến nhất cho môi trường nhiều đám mây và là môi trường đứng sau 78% các trang web phổ biến nhất.
Một trong những vấn đề là hầu hết các biện pháp chống phần mềm độc hại hiện tại tập trung chủ yếu
trong việc giải quyết các mối đe dọa dựa trên Windows.
Các đám mây công cộng và riêng tư là những mục tiêu có giá trị cao đối với tội phạm mạng, vì chúng cung cấp quyền truy cập vào các dịch vụ cơ sở hạ tầng và các tài nguyên máy tính quan trọng. Chúng lưu trữ các thành phần chính, chẳng hạn như máy chủ email và cơ sở dữ liệu khách hàng,
Các cuộc tấn công này xảy ra bằng cách khai thác hệ thống xác thực yếu, lỗ hổng bảo mật và cấu hình sai trong cơ sở hạ tầng dựa trên vùng chứa. để xâm nhập vào môi trường bằng các công cụ truy cập từ xa (RAT).
Khi những kẻ tấn công đã xâm nhập được vào hệ thống, chúng thường chọn hai kiểu tấn công: echạy ransomware hoặc triển khai các thành phần đào tiền mã hóa.
- Ransomware: Trong kiểu tấn công này, bọn tội phạm xâm nhập vào mạng và mã hóa các tập tin.
- Khai thác tiền điện tử: Thực tế có hai loại tấn công. Trong lần đầu tiên, ví bị đánh cắp mô phỏng một ứng dụng dựa trên tiền điện tử và trong lần thứ hai, tài nguyên phần cứng của máy tính bị tấn công được sử dụng để khai thác.
Các cuộc tấn công được thực hiện như thế nào
Sau khi tội phạm có được quyền truy cập ban đầu vào môi trường, Bạn phải tìm cách tận dụng quyền truy cập hạn chế này để đạt được nhiều đặc quyền hơn. Mục tiêu đầu tiên là cài đặt các chương trình trên một hệ thống bị xâm nhập cho phép nó giành được quyền kiểm soát một phần máy.
Chương trình này, được gọi là thiết bị cấy ghép hoặc đèn hiệu, nhằm mục đích thiết lập kết nối mạng thường xuyên đến máy chủ chỉ huy và điều khiển để nhận hướng dẫn và truyền kết quả.
Có hai cách kết nối với thiết bị cấy ghép; thụ động và chủ động
- Bị động: Bộ cấy thụ động chờ kết nối với máy chủ bị xâm nhập.
- Hoạt động: Bộ cấy được kết nối vĩnh viễn với máy chủ chỉ huy và điều khiển.
Nghiên cứu xác định rằng cấy ghép ở chế độ hoạt động được sử dụng nhiều nhất.
Chiến thuật kẻ tấn công
Người cấy ghép thường thực hiện trinh sát các hệ thống trong khu vực của họ. Ví dụ, họ có thể quét một tập hợp đầy đủ các địa chỉ IP để thu thập thông tin hệ thống và lấy dữ liệu biểu ngữ cổng TCP. Điều này cũng có thể cho phép thiết bị cấy ghép thu thập địa chỉ IP, tên máy chủ, tài khoản người dùng đang hoạt động, hệ điều hành và phiên bản phần mềm cụ thể của tất cả các hệ thống mà nó phát hiện.
Các bộ phận cấy ghép phải có khả năng ẩn trong các hệ thống bị nhiễm bệnh để tiếp tục thực hiện công việc của chúng. Đối với điều đó, nó thường được hiển thị dưới dạng một dịch vụ hoặc ứng dụng khác của hệ điều hành máy chủ. Trong các đám mây dựa trên Linux, chúng được ngụy trang như các công việc cron thông thường. Trên các hệ thống lấy cảm hứng từ Unix như Linux, cron cho phép các môi trường Linux, macOS và Unix lên lịch các quá trình chạy theo các khoảng thời gian đều đặn. Bằng cách này, phần mềm độc hại có thể được cấy vào một hệ thống đã bị xâm nhập với tần suất khởi động lại là 15 phút, vì vậy nó có thể được khởi động lại nếu bị hủy.
systemd + cgrups + http2 + http3 + javascripts trong pdf… .etc, v.v. và họ vẫn thắc mắc tại sao sự cố lại bắt đầu ??
Như bạn nói, bạn thất bại, hoặc một vấn đề rất nhỏ không biết cách định cấu hình hệ thống hoặc di chuyển từ Windows có vẻ là 123456 cho các hệ thống phức tạp, Linux an toàn nhưng không thông minh để tự tạo bảo mật, tôi nghĩ là như vậy. tất cả một thách thức nữa xảy ra trong Windows đối với mọi người vì có phần mềm chống vi-rút cảm thấy an toàn, nó không được dạy về cách an toàn hoặc cách an toàn được nói hoặc nó khiến chúng ta dễ bị tổn thương, vì vậy sẽ rất tốt trong một bài viết về cách bảo vệ chống lại những thứ này, cách tạo dấu hiệu an toàn hoặc sử dụng mã hóa senha chỉ với một… vv
Tôi tin rằng với sự phổ biến hơn và nhiều cuộc tấn công hơn, cách bạn che chắn cho đội của mình cũng rất quan trọng.