За последний год количество вредоносных программ, нацеленных на среду Linux, значительно увеличилось, и злоумышленники используют различные методы для выполнения операций.
Linux — желанная цель. Это основная операционная система для многочисленных серверных приложений и серверов, которая поддерживает широкий спектр устройств Интернета вещей (IoT) . Тем не менее, для защиты работающих на нем машин делается недостаточно.
«Вредоносное ПО для Linux часто игнорируется, — говорит Джованни Винья, старший директор по анализу угроз в VMware. «Поскольку большинство облачных хостов работают под управлением Linux, возможность компрометации платформ на базе Linux позволяет злоумышленнику получить доступ к огромному количеству ресурсов или нанести значительный ущерб с помощью программ- вымогателей и вайперов».
В последние годы киберпреступники и субъекты национального государства нацелились на системы на базе Linux. Согласно недавнему отчету VMware , целью часто было проникновение в корпоративные и государственные сети или получение доступа к критически важной инфраструктуре . Среди прочего, они используют слабую аутентификацию, неисправленные уязвимости и неправильные настройки сервера.
Вредоносное ПО для Linux становится не только более распространенным, но и более разнообразным. Компания по обеспечению безопасности Intezer изучила уникальность кода штаммов вредоносных программ, чтобы увидеть, насколько новаторскими являются авторы. Было обнаружено увеличение большинства категорий вредоносных программ в 2021 году по сравнению с 2020 годом, включая программы-вымогатели, банковские трояны и ботнеты . «Это увеличение нацеливания на Linux может быть связано с тем, что организации все чаще переходят в облачные среды, которые часто полагаются на Linux для своей работы», — говорится в отчете . «Уровень инноваций вредоносных программ для Linux приблизился к уровню вредоносных программ для Windows».
Поскольку вредоносное ПО для Linux продолжает развиваться, организациям необходимо обращать внимание на наиболее распространенные атаки и усиливать безопасность на каждом этапе пути. «Хотя Linux может быть более безопасным, чем другие операционные системы, важно отметить, что операционная система настолько безопасна, насколько ее самое слабое звено», — говорит Ронни Токазовски, главный советник по угрозам в Cofense.
Вот шесть типов атак на Linux, за которыми нужно следить:
1. Программы-вымогатели нацелены на образы виртуальных машин
В последние годы банды вымогателей начали заглядывать в среды Linux. Качество образцов вредоносных программ сильно различается, но такие банды, как Conti , DarkSide , REvil и Hive , быстро совершенствуют свои навыки.
Как правило, атаки программ-вымогателей на облачные среды тщательно планируются. По данным VMware, киберпреступники пытаются полностью скомпрометировать свою жертву, прежде чем приступить к шифрованию файлов.
Недавно такие группы, как RansomExx/Defray777 и Conti, начали нацеливаться на образы хостов Linux, используемые для рабочих нагрузок в виртуализированных средах. «Это новое и тревожное событие показывает, как злоумышленники ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб», — говорится в отчете VMware.
Шифрование образов виртуальных машин, размещенных на гипервизорах ESXi , представляет особый интерес для этих банд , поскольку они знают, что могут существенно повлиять на операции. «Разработка новых двоичных файлов специально для шифрования виртуальных машин и их сред управления является общей темой в среде программ-вымогателей», — говорится в отчете компании по безопасности Trellix.
2. Криптоджекинг набирает обороты
Криптоджекинг — один из самых распространенных типов вредоносных программ для Linux, поскольку он может быстро приносить деньги. «Целью этого программного обеспечения является использование вычислительных ресурсов для генерации криптовалюты для злоумышленника», — говорит Токазовски, как правило, Monero.
Одна из первых заметных атак произошла в 2018 году, когда жертвой стало общедоступное облако Tesla. «Хакеры проникли в консоль Tesla Kubernetes, которая не была защищена паролем», — сообщает компания RedLock, занимающаяся облачным мониторингом . «В рамках одного модуля Kubernetes учетные данные для доступа были предоставлены среде Tesla AWS, которая содержала корзину Amazon S3 (Amazon Simple Storage Service) с конфиденциальными данными, такими как телеметрия».
Криптоджекинг стал более распространенным, а XMRig и Sysrv являются одними из самых известных семейств криптомайнеров. Отчет SonicWall показал, что количество попыток выросло на 19% в 2021 году по сравнению с 2020 годом. «Для государственных и медицинских клиентов это увеличение было выражено трехзначным числом, при этом рост криптоджекинга составил 709% и 218% соответственно», — говорится в документе. . Охранная компания насчитала в среднем 338 попыток криптоджекинга на клиентскую сеть.
По словам Токазовски, чтобы нацеливаться на своих жертв, многие банды используют списки паролей по умолчанию, эксплойты bash или эксплойты, которые намеренно нацелены на неправильно настроенные системы со слабой безопасностью. «Некоторые из этих неправильных конфигураций могут включать в себя атаки с обходом каталога, атаки с удаленным включением файлов или полагаться на неправильно настроенные процессы с установками по умолчанию», — говорит он.
3. Три семейства вредоносных программ — XorDDoS, Mirai и Mozi — нацелены на Интернет вещей.
Интернет вещей работает на Linux, за некоторыми исключениями, и простота устройств может помочь превратить их в потенциальных жертв. CrowdStrike сообщает , что объем вредоносных программ, нацеленных на гаджеты, работающие под управлением Linux, увеличился на 35% в 2021 году по сравнению с 2020 годом. 22% от общего количества приходится на три семейства вредоносных программ: XorDDoS, Mirai и Mozi. Они следуют той же схеме: заражают устройства, объединяют их в ботнет , а затем используют для выполнения DDoS-атак .
Mirai, троянец для Linux, который использует атаки Telnet и Secure Shell (SSH) для компрометации устройств, считается общим предком многих штаммов вредоносного ПО для DDoS для Linux. После того, как его исходный код стал общедоступным в 2016 году, появилось несколько вариантов. Кроме того, авторы вредоносного ПО извлекли из этого уроки и внедрили функции Mirai в свои собственные троянцы.
CrowdStrike заметила, что количество вариантов вредоносного ПО Mirai, скомпилированных для систем Linux на базе Intel, увеличилось более чем вдвое в первом квартале 2022 года по сравнению с первым кварталом 2021 года, при этом наибольшее увеличение вариантов нацелено на 32-разрядные процессоры x86. «Варианты Mirai постоянно развиваются, чтобы использовать неисправленные уязвимости для расширения поверхности атаки», — говорится в отчете.
Еще один преуспевающий троянец для Linux — XorDDoS. Microsoft обнаружила, что эта угроза выросла на 254% за последние шесть месяцев. XorDDoS использует свои варианты, скомпилированные для архитектур ARM, x86 и x64 Linux, чтобы повысить вероятность успешного заражения. Как и Mirai, он использует атаки грубой силы, чтобы получить доступ к своим целям, и, попав внутрь, сканирует серверы Docker с открытым портом 2375, чтобы получить удаленный корневой доступ к хосту без необходимости ввода пароля.
Mozi компрометирует свои цели примерно таким же образом, но чтобы другие вредоносные программы не заняли его место, он затем блокирует порты SSH и Telnet. Он создает одноранговую ботнет-сеть и использует систему распределенных хеш-таблиц (DHT), чтобы скрыть свое взаимодействие с сервером управления и контроля за законным трафиком DHT.
Согласно отчету Fortinet Global Threat Landscape Report , активность наиболее успешных ботнетов остается неизменной с течением времени . Компания, занимающаяся безопасностью, обнаружила, что авторы вредоносного ПО прилагают много усилий, чтобы гарантировать, что заражение будет устойчивым во времени, а это означает, что перезагрузка устройства не должна лишить хакера контроля над зараженной целью.
4. Атаки, спонсируемые государством, нацелены на среды Linux
Исследователи безопасности, отслеживающие национальные группы, заметили, что они все чаще нацелены на среду Linux. «С началом российско-украинской войны было развернуто множество вредоносных программ для Linux, в том числе вайперы, — говорит Райан Робинсон, исследователь безопасности в Intezer. По данным Cyfirma , российская APT-группа Sandworm якобы атаковала Linux-системы агентств Великобритании и США за несколько дней до начала атаки .
ESET была среди компаний, внимательно следивших за конфликтом и его последствиями для кибербезопасности. «Месяц назад мы наблюдали за Industroyer2 — атакой на украинскую энергетическую компанию, — говорит Марк-Этьен Левей, старший исследователь ESET по вредоносным программам. «Эта атака включала червей Linux и Solaris, которые распространялись с использованием SSH и, возможно, украденных учетных данных. Это была очень целенаправленная атака, явно преследовавшая цель уничтожить данные из баз данных и файловых систем».
Согласно документу ESET, очиститель Linux «уничтожает все содержимое дисков, подключенных к системе, используя shred , если он доступен, или просто dd (с if=/dev/random) в противном случае». «Если подключено несколько дисков, удаление данных выполняется параллельно, чтобы ускорить процесс». Совместно с CERT-UA ESET приписали вредоносное ПО группировке Sandstorm APT, которая использовала «Индустрой» в 2016 году для отключения электроэнергии в Украине.
Что касается других субъектов национального государства, Microsoft и Mandiant заметили, что несколько групп, поддерживаемых Китаем, Ираном, Северной Кореей и другими, использовали печально известную уязвимость Log4j в системах Windows и Linux, чтобы получить доступ к сетям, на которые они нацелены.
5. Бесфайловые атаки трудно обнаружить
Исследователи безопасности из Alien Labs компании AT&T обнаружили, что многие участники, в том числе TeamTNT, начали использовать Ezuri, инструмент с открытым исходным кодом, написанный на Golang. Злоумышленники используют Ezuri для шифрования вредоносного кода. При расшифровке полезная нагрузка выполняется непосредственно из памяти, не оставляя следов на диске, что затрудняет обнаружение таких атак антивирусным программным обеспечением.
Основная группа, связанная с этим методом, TeamTNT, нацелена на системы Docker, которые не настроены должным образом, с целью установки DDoS-ботов и криптомайнеров.
6. Вредоносное ПО для Linux нацелено на компьютеры с Windows
Вредоносное ПО для Linux также может использовать компьютеры Windows через подсистему Windows для Linux (WSL) — функцию Windows, которая позволяет запускать двоичные файлы Linux в исходной среде этой ОС. WSL необходимо установить вручную или путем присоединения к программе Windows Insider, но злоумышленники могут установить его, если у них есть повышенные права доступа.
Компания Qualys, занимающаяся облачной безопасностью, изучила возможность проведения атак или обеспечения устойчивости на компьютере с Windows с помощью WSL. На данный момент были проанализированы два метода: проксирование выполнения и установка утилит , и сделан вывод, что оба они вполне осуществимы. По словам экспертов компании по безопасности, организации, которые хотят защититься от этого типа атак, могут отключить виртуализацию и возможность установки WSL. Это также помогает постоянно проверять запущенные процессы.
Злоумышленники также перенесли функциональность инструментов Windows в Linux, стремясь охватить больше платформ. Одним из примеров является Vermilion Strike , который основан на популярном инструменте тестирования на проникновение для Windows, CobaltStrike, но может использоваться как для Windows, так и для Linux. Vermilion Strike предлагает злоумышленникам возможности удаленного доступа, включая манипулирование файлами и выполнение команд оболочки. Инструмент применялся против телекоммуникационных компаний, государственных структур и финансовых учреждений, а основной целью злоумышленников было ведение шпионажа.
Исследователи из Intezer говорят в своем отчете, что «Vermilion Strike может быть не последней реализацией Linux» CobaltStrike Beacon.
Защита от вредоносных программ, нацеленных на среду Linux
Безопасность становится самой слабой, когда системные администраторы и разработчики соревнуются со временем и сроками. Разработчики, например, могут слепо доверять исходному коду сообщества; они копируют/вставляют код из Stack Overflow, быстро запускают программное обеспечение после клонирования репозитория GitHub или развертывают приложение из Docker Hub непосредственно в своей производственной среде.
Оппортунистические злоумышленники пользуются этой «экономией внимания». Они добавляют криптомайнеры в контейнеры Docker или создают пакеты с открытым исходным кодом с именами, почти идентичными широко используемым библиотекам, используя в своих интересах случайную орфографическую ошибку со стороны разработчиков.
«Эксплуатация открытых развертываний Docker и Kubernetes довольно интересна: неосторожные люди оставляют свои развертывания контейнеров открытыми для всего мира, и эти установки легко захватываются и используются в качестве плацдарма для дальнейших атак или для другой деятельности по монетизации, такой как майнинг Monero». говорит Винья из VMware.
«Я страстный проповедник открытого программного обеспечения и культуры, но одна вещь, которая действительно вызывает у меня раздражение, — это хрупкость цепочки доверия, связанной с общедоступными репозиториями программного обеспечения», — говорит Райан Крибелар, инженер-исследователь уязвимостей в Нуклеус Безопасность. «Конечно, это не касается Linux, но вредоносная библиотека, скрывающаяся, например, в репозиториях PyPi или NPM, возможно, вызовет большую потерю сна у администраторов Linux и групп безопасности».
Для серверов Linux неправильная конфигурация также является большой проблемой, и это может произойти в нескольких точках инфраструктуры. «Обычно параметры брандмауэра или группы безопасности настроены неправильно, чтобы разрешить доступ к более широкому Интернету, что позволяет получить внешний доступ к развернутым приложениям на серверах Linux», — говорит Робинсон из Intezer.
Приложения обычно неправильно настроены, чтобы разрешить доступ без проверки подлинности или с использованием учетных данных по умолчанию. «В зависимости от неправильно сконфигурированного приложения злоумышленники смогут украсть информацию или запустить вредоносный код на сервере Linux», — добавляет Робинсон. «Обычные примеры включают неправильно настроенные демоны Docker, позволяющие злоумышленникам запускать свои собственные контейнеры, или неправильно настроенные приложения, из-за которых происходит утечка паролей и информации о клиентах, например Apache Airflow». Робинсон добавляет, что конфигурация по умолчанию часто не соответствует безопасной конфигурации.
Джоэл Сперлок, старший директор по исследованиям вредоносных программ в CrowdStrike, видит еще одну проблему: установка исправлений. Он утверждает, что организации «либо не могут, либо не хотят поддерживать машины в актуальном состоянии». Исправления должны производиться регулярно, и в меню также должны быть такие модные словечки, как EDR и нулевое доверие .
Вредоносное ПО, нацеленное на среду Linux, процветает на обширной площадке потребительских устройств и серверов, виртуализированных средах и специализированных операционных системах, поэтому меры безопасности, необходимые для защиты всего этого, требуют сосредоточенности и тщательного планирования.
Linux — желанная цель. Это основная операционная система для многочисленных серверных приложений и серверов, которая поддерживает широкий спектр устройств Интернета вещей (IoT) . Тем не менее, для защиты работающих на нем машин делается недостаточно.
«Вредоносное ПО для Linux часто игнорируется, — говорит Джованни Винья, старший директор по анализу угроз в VMware. «Поскольку большинство облачных хостов работают под управлением Linux, возможность компрометации платформ на базе Linux позволяет злоумышленнику получить доступ к огромному количеству ресурсов или нанести значительный ущерб с помощью программ- вымогателей и вайперов».
В последние годы киберпреступники и субъекты национального государства нацелились на системы на базе Linux. Согласно недавнему отчету VMware , целью часто было проникновение в корпоративные и государственные сети или получение доступа к критически важной инфраструктуре . Среди прочего, они используют слабую аутентификацию, неисправленные уязвимости и неправильные настройки сервера.
Вредоносное ПО для Linux становится не только более распространенным, но и более разнообразным. Компания по обеспечению безопасности Intezer изучила уникальность кода штаммов вредоносных программ, чтобы увидеть, насколько новаторскими являются авторы. Было обнаружено увеличение большинства категорий вредоносных программ в 2021 году по сравнению с 2020 годом, включая программы-вымогатели, банковские трояны и ботнеты . «Это увеличение нацеливания на Linux может быть связано с тем, что организации все чаще переходят в облачные среды, которые часто полагаются на Linux для своей работы», — говорится в отчете . «Уровень инноваций вредоносных программ для Linux приблизился к уровню вредоносных программ для Windows».
Поскольку вредоносное ПО для Linux продолжает развиваться, организациям необходимо обращать внимание на наиболее распространенные атаки и усиливать безопасность на каждом этапе пути. «Хотя Linux может быть более безопасным, чем другие операционные системы, важно отметить, что операционная система настолько безопасна, насколько ее самое слабое звено», — говорит Ронни Токазовски, главный советник по угрозам в Cofense.
Вот шесть типов атак на Linux, за которыми нужно следить:
1. Программы-вымогатели нацелены на образы виртуальных машин
В последние годы банды вымогателей начали заглядывать в среды Linux. Качество образцов вредоносных программ сильно различается, но такие банды, как Conti , DarkSide , REvil и Hive , быстро совершенствуют свои навыки.
Как правило, атаки программ-вымогателей на облачные среды тщательно планируются. По данным VMware, киберпреступники пытаются полностью скомпрометировать свою жертву, прежде чем приступить к шифрованию файлов.
Недавно такие группы, как RansomExx/Defray777 и Conti, начали нацеливаться на образы хостов Linux, используемые для рабочих нагрузок в виртуализированных средах. «Это новое и тревожное событие показывает, как злоумышленники ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб», — говорится в отчете VMware.
Шифрование образов виртуальных машин, размещенных на гипервизорах ESXi , представляет особый интерес для этих банд , поскольку они знают, что могут существенно повлиять на операции. «Разработка новых двоичных файлов специально для шифрования виртуальных машин и их сред управления является общей темой в среде программ-вымогателей», — говорится в отчете компании по безопасности Trellix.
2. Криптоджекинг набирает обороты
Криптоджекинг — один из самых распространенных типов вредоносных программ для Linux, поскольку он может быстро приносить деньги. «Целью этого программного обеспечения является использование вычислительных ресурсов для генерации криптовалюты для злоумышленника», — говорит Токазовски, как правило, Monero.
Одна из первых заметных атак произошла в 2018 году, когда жертвой стало общедоступное облако Tesla. «Хакеры проникли в консоль Tesla Kubernetes, которая не была защищена паролем», — сообщает компания RedLock, занимающаяся облачным мониторингом . «В рамках одного модуля Kubernetes учетные данные для доступа были предоставлены среде Tesla AWS, которая содержала корзину Amazon S3 (Amazon Simple Storage Service) с конфиденциальными данными, такими как телеметрия».
Криптоджекинг стал более распространенным, а XMRig и Sysrv являются одними из самых известных семейств криптомайнеров. Отчет SonicWall показал, что количество попыток выросло на 19% в 2021 году по сравнению с 2020 годом. «Для государственных и медицинских клиентов это увеличение было выражено трехзначным числом, при этом рост криптоджекинга составил 709% и 218% соответственно», — говорится в документе. . Охранная компания насчитала в среднем 338 попыток криптоджекинга на клиентскую сеть.
По словам Токазовски, чтобы нацеливаться на своих жертв, многие банды используют списки паролей по умолчанию, эксплойты bash или эксплойты, которые намеренно нацелены на неправильно настроенные системы со слабой безопасностью. «Некоторые из этих неправильных конфигураций могут включать в себя атаки с обходом каталога, атаки с удаленным включением файлов или полагаться на неправильно настроенные процессы с установками по умолчанию», — говорит он.
3. Три семейства вредоносных программ — XorDDoS, Mirai и Mozi — нацелены на Интернет вещей.
Интернет вещей работает на Linux, за некоторыми исключениями, и простота устройств может помочь превратить их в потенциальных жертв. CrowdStrike сообщает , что объем вредоносных программ, нацеленных на гаджеты, работающие под управлением Linux, увеличился на 35% в 2021 году по сравнению с 2020 годом. 22% от общего количества приходится на три семейства вредоносных программ: XorDDoS, Mirai и Mozi. Они следуют той же схеме: заражают устройства, объединяют их в ботнет , а затем используют для выполнения DDoS-атак .
Mirai, троянец для Linux, который использует атаки Telnet и Secure Shell (SSH) для компрометации устройств, считается общим предком многих штаммов вредоносного ПО для DDoS для Linux. После того, как его исходный код стал общедоступным в 2016 году, появилось несколько вариантов. Кроме того, авторы вредоносного ПО извлекли из этого уроки и внедрили функции Mirai в свои собственные троянцы.
CrowdStrike заметила, что количество вариантов вредоносного ПО Mirai, скомпилированных для систем Linux на базе Intel, увеличилось более чем вдвое в первом квартале 2022 года по сравнению с первым кварталом 2021 года, при этом наибольшее увеличение вариантов нацелено на 32-разрядные процессоры x86. «Варианты Mirai постоянно развиваются, чтобы использовать неисправленные уязвимости для расширения поверхности атаки», — говорится в отчете.
Еще один преуспевающий троянец для Linux — XorDDoS. Microsoft обнаружила, что эта угроза выросла на 254% за последние шесть месяцев. XorDDoS использует свои варианты, скомпилированные для архитектур ARM, x86 и x64 Linux, чтобы повысить вероятность успешного заражения. Как и Mirai, он использует атаки грубой силы, чтобы получить доступ к своим целям, и, попав внутрь, сканирует серверы Docker с открытым портом 2375, чтобы получить удаленный корневой доступ к хосту без необходимости ввода пароля.
Mozi компрометирует свои цели примерно таким же образом, но чтобы другие вредоносные программы не заняли его место, он затем блокирует порты SSH и Telnet. Он создает одноранговую ботнет-сеть и использует систему распределенных хеш-таблиц (DHT), чтобы скрыть свое взаимодействие с сервером управления и контроля за законным трафиком DHT.
Согласно отчету Fortinet Global Threat Landscape Report , активность наиболее успешных ботнетов остается неизменной с течением времени . Компания, занимающаяся безопасностью, обнаружила, что авторы вредоносного ПО прилагают много усилий, чтобы гарантировать, что заражение будет устойчивым во времени, а это означает, что перезагрузка устройства не должна лишить хакера контроля над зараженной целью.
4. Атаки, спонсируемые государством, нацелены на среды Linux
Исследователи безопасности, отслеживающие национальные группы, заметили, что они все чаще нацелены на среду Linux. «С началом российско-украинской войны было развернуто множество вредоносных программ для Linux, в том числе вайперы, — говорит Райан Робинсон, исследователь безопасности в Intezer. По данным Cyfirma , российская APT-группа Sandworm якобы атаковала Linux-системы агентств Великобритании и США за несколько дней до начала атаки .
ESET была среди компаний, внимательно следивших за конфликтом и его последствиями для кибербезопасности. «Месяц назад мы наблюдали за Industroyer2 — атакой на украинскую энергетическую компанию, — говорит Марк-Этьен Левей, старший исследователь ESET по вредоносным программам. «Эта атака включала червей Linux и Solaris, которые распространялись с использованием SSH и, возможно, украденных учетных данных. Это была очень целенаправленная атака, явно преследовавшая цель уничтожить данные из баз данных и файловых систем».
Согласно документу ESET, очиститель Linux «уничтожает все содержимое дисков, подключенных к системе, используя shred , если он доступен, или просто dd (с if=/dev/random) в противном случае». «Если подключено несколько дисков, удаление данных выполняется параллельно, чтобы ускорить процесс». Совместно с CERT-UA ESET приписали вредоносное ПО группировке Sandstorm APT, которая использовала «Индустрой» в 2016 году для отключения электроэнергии в Украине.
Что касается других субъектов национального государства, Microsoft и Mandiant заметили, что несколько групп, поддерживаемых Китаем, Ираном, Северной Кореей и другими, использовали печально известную уязвимость Log4j в системах Windows и Linux, чтобы получить доступ к сетям, на которые они нацелены.
5. Бесфайловые атаки трудно обнаружить
Исследователи безопасности из Alien Labs компании AT&T обнаружили, что многие участники, в том числе TeamTNT, начали использовать Ezuri, инструмент с открытым исходным кодом, написанный на Golang. Злоумышленники используют Ezuri для шифрования вредоносного кода. При расшифровке полезная нагрузка выполняется непосредственно из памяти, не оставляя следов на диске, что затрудняет обнаружение таких атак антивирусным программным обеспечением.
Основная группа, связанная с этим методом, TeamTNT, нацелена на системы Docker, которые не настроены должным образом, с целью установки DDoS-ботов и криптомайнеров.
6. Вредоносное ПО для Linux нацелено на компьютеры с Windows
Вредоносное ПО для Linux также может использовать компьютеры Windows через подсистему Windows для Linux (WSL) — функцию Windows, которая позволяет запускать двоичные файлы Linux в исходной среде этой ОС. WSL необходимо установить вручную или путем присоединения к программе Windows Insider, но злоумышленники могут установить его, если у них есть повышенные права доступа.
Компания Qualys, занимающаяся облачной безопасностью, изучила возможность проведения атак или обеспечения устойчивости на компьютере с Windows с помощью WSL. На данный момент были проанализированы два метода: проксирование выполнения и установка утилит , и сделан вывод, что оба они вполне осуществимы. По словам экспертов компании по безопасности, организации, которые хотят защититься от этого типа атак, могут отключить виртуализацию и возможность установки WSL. Это также помогает постоянно проверять запущенные процессы.
Злоумышленники также перенесли функциональность инструментов Windows в Linux, стремясь охватить больше платформ. Одним из примеров является Vermilion Strike , который основан на популярном инструменте тестирования на проникновение для Windows, CobaltStrike, но может использоваться как для Windows, так и для Linux. Vermilion Strike предлагает злоумышленникам возможности удаленного доступа, включая манипулирование файлами и выполнение команд оболочки. Инструмент применялся против телекоммуникационных компаний, государственных структур и финансовых учреждений, а основной целью злоумышленников было ведение шпионажа.
Исследователи из Intezer говорят в своем отчете, что «Vermilion Strike может быть не последней реализацией Linux» CobaltStrike Beacon.
Защита от вредоносных программ, нацеленных на среду Linux
Безопасность становится самой слабой, когда системные администраторы и разработчики соревнуются со временем и сроками. Разработчики, например, могут слепо доверять исходному коду сообщества; они копируют/вставляют код из Stack Overflow, быстро запускают программное обеспечение после клонирования репозитория GitHub или развертывают приложение из Docker Hub непосредственно в своей производственной среде.
Оппортунистические злоумышленники пользуются этой «экономией внимания». Они добавляют криптомайнеры в контейнеры Docker или создают пакеты с открытым исходным кодом с именами, почти идентичными широко используемым библиотекам, используя в своих интересах случайную орфографическую ошибку со стороны разработчиков.
«Эксплуатация открытых развертываний Docker и Kubernetes довольно интересна: неосторожные люди оставляют свои развертывания контейнеров открытыми для всего мира, и эти установки легко захватываются и используются в качестве плацдарма для дальнейших атак или для другой деятельности по монетизации, такой как майнинг Monero». говорит Винья из VMware.
«Я страстный проповедник открытого программного обеспечения и культуры, но одна вещь, которая действительно вызывает у меня раздражение, — это хрупкость цепочки доверия, связанной с общедоступными репозиториями программного обеспечения», — говорит Райан Крибелар, инженер-исследователь уязвимостей в Нуклеус Безопасность. «Конечно, это не касается Linux, но вредоносная библиотека, скрывающаяся, например, в репозиториях PyPi или NPM, возможно, вызовет большую потерю сна у администраторов Linux и групп безопасности».
Для серверов Linux неправильная конфигурация также является большой проблемой, и это может произойти в нескольких точках инфраструктуры. «Обычно параметры брандмауэра или группы безопасности настроены неправильно, чтобы разрешить доступ к более широкому Интернету, что позволяет получить внешний доступ к развернутым приложениям на серверах Linux», — говорит Робинсон из Intezer.
Приложения обычно неправильно настроены, чтобы разрешить доступ без проверки подлинности или с использованием учетных данных по умолчанию. «В зависимости от неправильно сконфигурированного приложения злоумышленники смогут украсть информацию или запустить вредоносный код на сервере Linux», — добавляет Робинсон. «Обычные примеры включают неправильно настроенные демоны Docker, позволяющие злоумышленникам запускать свои собственные контейнеры, или неправильно настроенные приложения, из-за которых происходит утечка паролей и информации о клиентах, например Apache Airflow». Робинсон добавляет, что конфигурация по умолчанию часто не соответствует безопасной конфигурации.
Джоэл Сперлок, старший директор по исследованиям вредоносных программ в CrowdStrike, видит еще одну проблему: установка исправлений. Он утверждает, что организации «либо не могут, либо не хотят поддерживать машины в актуальном состоянии». Исправления должны производиться регулярно, и в меню также должны быть такие модные словечки, как EDR и нулевое доверие .
Вредоносное ПО, нацеленное на среду Linux, процветает на обширной площадке потребительских устройств и серверов, виртуализированных средах и специализированных операционных системах, поэтому меры безопасности, необходимые для защиты всего этого, требуют сосредоточенности и тщательного планирования.
