由于它经常被用作云服务、虚拟机主机和基于容器的基础设施,攻击者开始使用越来越复杂的利用工具和恶意软件来攻击环境。日前,《揭露基于多云环境中的恶意软件》研究报告(以下简称“报告”)发布。报告的数据显示,恶意软件,如勒索软件、加密货币劫持和渗透测试工具的破解版本,开始攻击越来越多的云基础设施中的系统和应用。
图勒索病毒二进制文件的特征分布
威胁分析部门(TAU)小组负责人表示,虽然攻击者目前不会将攻击重点从Linux大规模转移到Linux,但他们的活动频率明显增加,这表明他们也盯上了Linux,企业组织需要提前防范这种威胁。
BrianBaskin解释说:“大多数攻击研究都集中在Windows上,但现在我们看到针对Linux的攻击有所增加,尤其是针对云基础设施的攻击。我们看到的大多数情况涉及虚拟机管理级别的错误配置,或服务器级别的共享帐户和密码,以及错误配置的基于角色的访问控制。"
据介绍,Linux系统最初的攻击通常是通过窃取登录信息来实现的,而不是利用漏洞。VMware威胁情报高级主管GiovanniVigna表示,尽管远程代码执行是侵入此类系统的第二大方式(例如,利用流行的Log4j漏洞),但窃取的身份信息通常会让攻击者有更多的时间来探查受害企业的网络系统内部。“目前主要攻击面还是被盗的登录信息。对于攻击者来说,优势在于受害者需要更长的时间来理解攻击已经发生。因为登录看起来绝对正常,实际上攻击者已经访问了资源,但直到事情开始向严重的方向发展,才真正认识到泄漏。”
人们发现,基于Linux的恶意软件种类繁多。从勒索软件到加密货币矿工,再到远程访问管理软件(如CobaltStrike)的植入,攻击者开发了大量工具来破坏被感染的Linux系统,并从中非法获利。“勒索软件最近取得了很大进展,可以攻击用于在虚拟化环境中启动工作负载的Linux主机映像,”报告指出。这种令人担忧的新趋势表明,攻击者如何在云环境中找到最有价值的资产,以便对目标造成最大的破坏。"
美国网络安全和基础设施安全局(CISA)及其国际合作伙伴也在2月9日的公告中对具体的勒索病毒威胁进行了特别提醒:2021年网络安全最显著的变化之一是攻击者对云基础设施发起更具破坏性的攻击。警告公告称:“勒索病毒攻击者从云基础设施入手,利用云应用、虚拟机软件和虚拟机编排软件中的已知漏洞实施攻击。勒索软件威胁还会攻击云账户、云应用编程接口(API)和数据备份存储系统,阻止用户访问云资源和加密数据。”
需要特别注意的是,攻击者也开始使用更高级的工具来管理针对Linux基础设施的攻击。VMware的报告指出,CobaltStrike是一个面向Windows的攻击管理系统,经常被红队和渗透测试人员使用,但攻击者现在正在用它来攻击Linux。目前,VMware已经使用CobaltStrike监控了14000台服务器。具体方法是从分期服务器下载植入物,然后解构文件中的信息,收集更具体的信息。调查小组发现,六分之一版本的CobaltStrike程序的客户ID为0,这表明这是一个试用版,但这些很可能已被破解。另外四个自定义id占剩下的CobaltStrike服务器的近40%,说明这些服务器上的保护机制也被打破了。
参考链接:
https://www . dark reading.com/cloud/Linux-恶意软件-上升中-包括-非法使用-钴-打击
本文链接:http://www.slxf119.com/17317.html 转载需授权!
网友评论