由于Linux通常用作云服务、虚拟机主机和基于容器的基础架构,攻击者正在使用越来越复杂的漏洞利用工具和恶意软件来瞄准Linux环境。VMware近日发布了《揭露基于Linux多云环境中的恶意软件》研究报告(以下简称“报告”)。报告数据显示,以勒索软件、加密货币劫持和破解版渗透测试工具为代表的恶意软件越来越多地攻击多云基础设施。Linux系统及其中的应用程序。图1Linux勒索软件二进制文件各种特征分布VMware威胁分析部(TAU)团队负责人BrianBaskin表示,虽然攻击者还没有将攻击重点从Windows大规模转移到Linux,但活动频率已经显着增加,这表明他们也开始关注Linux,企业组织需要提前防范这种威胁。BrianBaskin解释说:“大多数攻击研究都集中在Windows方面,但我们现在看到针对Linux的攻击有所增加,尤其是针对多云基础设施的攻击。我们看到的大多数案例都涉及虚拟机管理层的错误配置,或者共享服务器级别的帐户、共享密码和不正确配置的基于角色的访问控制。”据介绍,Linux系统最初的攻击通常不是利用漏洞,而是窃取登录信息。VMware威胁情报高级主管GiovanniVigna表示,虽然远程代码执行是入侵此类系统的第二大最常见方式(例如利用普遍存在的Log4j漏洞),但被盗身份通常会让攻击者有更多时间花在受害上。企业网络系统内部探测。“我们今天看到的主要攻击面仍然是登录被盗,对攻击者的好处是受害者需要更长的时间来了解发生了攻击。因为登录看起来绝对正常,实际上攻击者已经访问了资源,但在事情开始变坏之前,不要真正确定违规行为。”研究发现,目前存在多种基于Linux的恶意软件。从勒索软件到加密货币矿工,再到CobaltStrike等远程访问管理软件的植入程序,攻击者开发了一系列工具来破坏受感染的Linux系统并从中获利。”勒索软件最近开始攻击用于在虚拟化环境中启动工作负载的Linux主机映像,”报告指出。“这一令人担忧的新发展表明攻击者如何找到最有价值的资产,以便对目标造成最大的损害。”美国网络安全和基础设施安全局(CISA)及其国际合作伙伴在2月9日关于特定勒索软件威胁的公告中也特别提醒:2021年网络安全最显着的变化之一是攻击者对云发起更具破坏性的攻击警告公告指出:“勒索软件攻击者以云基础设施为目标,利用云应用程序、虚拟机软件和虚拟机编排软件中的已知漏洞进行攻击。勒索软件威胁行为者还针对云帐户、云应用程序编程接口(API)以及数据备份和存储系统,阻止用户访问云资源和加密数据。“值得注意的是,攻击者也开始使用更先进的工具来管理针对Linux基础设施的攻击。VMware的报告指出,CobaltStrike是一种针对Windows的攻击管理系统,经常被红队和渗透测试人员使用。但攻击者现在正在使用它以攻击Linux。VMware目前通过从临时服务器下载植入程序,然后解构文件中的信息以收集更具体的信息,来监控使用CobaltStrike的14,000台服务器。调查小组发现,六分之一的CobaltStrike程序版本具有客户端ID为0,表示试用版,但这些很可能被破解了。另外四个自定义ID占剩余CobaltStrike服务器的近40%,说明这些服务器上的保护机制也被攻破。参考链接:https://www.darkreading.com/cloud/linux-malware-on-the-rise-including-illicit-use-of-cobalt-strike
