因为Linux常常作为云服务器、虚拟机主机和根据器皿的基础设施等,攻击者逐渐应用日益繁杂的系统漏洞利用专用工具和恶意程序攻击Linux自然环境。VMware日前公布了《揭露基于Linux多云环境中的恶意软件》调查报告(下称“汇报”),报告资料显示:以勒索软件、数字货币挟持和渗透测试工具破解版下载为象征的恶意程序,逐渐愈来愈多地攻击阴天基础设施中的Linux系统软件及运用。
图1 Linux勒索软件二进制文件的各特点遍布
VMware危害剖析单位(TAU)工作组责任人Brian Baskin表示,尽管攻击者现阶段还不容易规模性将攻击关键总体目标从Windows迁移到Linux,但主题活动经常水平显著提高,这说明它们也逐渐注意到了Linux,企业的管理必须提早预防这类危害。
Brian Baskin表述说:“大部分攻击科学研究偏重于Windows层面,但大家目前见到对于Linux的攻击有所增加,尤其是针对阴天基础设施的攻击。大家看见的大部分情形都涉及到vm虚拟机管理方法方面的不正确配备,或是网络服务器方面的共享资源账号、共享资源登陆密码及其配备不合理的根据人物角色的密钥管理。”
据了解,对于Linux系统软件的原始攻击通常并不是根据利用系统漏洞,反而是根据偷盗登陆信息来完成。VMware威胁情报高級负责人Giovanni Vigna表明,尽管远程控制执行命令是闯进这类系统软件的第二大方法(例如利用风靡的Log4j系统漏洞),但失窃用的真实身份信息经常让攻击者有越多的时间段在被害公司的应用系统内部结构开展检测。“现阶段见到的关键攻击面依然是失窃的登陆信息,对攻击者来讲其特点是,受害人必须更长的时间段才可以搞清楚攻击已产生。由于登陆看上去肯定一切正常,事实上攻击者已浏览資源,但直到事儿逐渐朝比较严重的方位发展趋势,才真真正正鉴别泄密。”
研究发现,现如今已发生了多种多样根据Linux的恶意程序。从勒索软件到数字货币挖矿,再到远程连接管理系统软件的植体(例如Cobalt Strike),攻击者已研发出一大批专用工具来毁坏受传染的 Linux系统软件,并从这当中不法获利。汇报强调:“勒索软件近期拥有稳步发展,可以攻击用以在虚拟化技术自然环境中运行工作中载荷的Linux服务器镜像文件。这一令人堪忧的新动态说明,攻击者怎样在云自然环境中找寻最有價值的财产,便于对攻击总体目标导致较大的危害。”
英国网络信息安全和基础设施安全局(CISA)以及国际性合作方在2月9日对于特殊勒索软件危害的公示中也作出特别提示:2021年网络信息安全最明显的转变之一,便是攻击者对于云基础设施启动更具有杀伤力的攻击。这一份预警信息公示称:“勒索软件攻击者对云基础设施着手,利用云应用软件、虚拟机软件和vm虚拟机编辑手机软件中的己知系统漏洞执行攻击主题活动。勒索软件危害分子结构还对云账号、云计算平台程序编写插口(API)及其备份数据和分布式存储开展攻击,阻拦客户浏览云资源,并数据加密数据信息。”
必须非常高度重视的是,攻击者还逐渐采用更专业的设备来管理方法对于Linux基础设施启动的攻击。VMware的报告书强调,Cobalt Strike是蓝队和网站渗透测试工作人员常常采用的朝向Windows的攻击智能管理系统,但攻击者从现在起用它来攻击Linux。VMware现阶段检测了14000台应用Cobalt Strike的网络服务器,具体做法是以登场服务器下载植体,随后结构文档中的信息,以搜集更主要的信息。调查组发觉,Cobalt Strike程序流程中六分之一版本号的用户ID为0,这说明是使用版,但这种很可能已被破译。此外四个自定ID占剩下Cobalt Strike网络服务器的近40%,这说明这种网络服务器上的防护体制也遭受了毁坏。
参照连接:
https://www.darkreading.com/cloud/linux-malware-on-the-rise-including-illicit-use-of-cobalt-strike