[调研]Linux恶意软件呈上升趋势

admin
admin
admin
102360
文章
87
评论
2022年2月17日15:30:50评论57 views字数 2079阅读6分55秒阅读模式

[调研]Linux恶意软件呈上升趋势


由于云服务、虚拟机宿主机和容器基础设施经常依托Linux系统,越来越多的攻击者将目光投向了具有复杂漏洞和恶意软件的Linux环境。


日前,收集并分析客户所受攻击的遥测数据后,VMware发布了一份研究报告。报告显示,越来越多的勒索软件通过Linux宿主机感染虚拟机镜像或容器;利用加密货币劫持变现非法访问的现象增多;Cobalt Strike实例数量超过1.4万个——其中56%为网络罪犯或未购买许可的抠门公司所用盗版副本。VMware在其研究报告《曝光Linux多云环境恶意软件》中称,作为管理被黑主机的红队工具,Cobalt Strike实在太过流行,以至于黑产开发人员专门为Linux开发了这款Windows程序的协议兼容版。


[调研]Linux恶意软件呈上升趋势

图源:VMware报告《曝光Linux多云环境恶意软件》


VMWare威胁分析部(TAU)负责人Brian Baskin表示,虽然攻击者可能不会从Windows转向Linux,但攻击活动情况表明Linux也逐渐进入他们的目标范围了。


“大多数研究都聚焦Windows系统,但我们现在看到,针对Linux的攻击有所增加,尤其是针对多云基础设施的攻击。我们观察到的大多数攻击案例都涉及虚拟机管理程序层面的错误配置,或者服务器层面的错误配置:共享账户、共享密码,以及基于角色的访问控制配置不当。”


攻击者对目标的初始访问通常不是经由漏洞利用而是通过凭证窃取实现的。VMware威胁情报高级主管Giovanni Vigna表示,尽管远程代码执行是突破此类系统的第二大流行方式(例如利用普遍存在的Log4j漏洞),但被盗凭证通常会赋予攻击者更多时间在受害者网络内部充分探索。


“主要攻击面仍然是被盗凭证,对攻击者而言,其优点是目标安全团队需要更长时间才能弄明白自己遭入侵了。登录本身可能看起来是完全正常的,攻击者可以访问资源;直到事情开始不对劲,受害者才会真正发现数据泄露的事实。”


勒索软件警报


然而,初次访问之后,各种Linux恶意软件就紧随而至了。从勒索软件到加密货币挖矿机,再到远程访问管理软件(如Cobalt Strike)植入物,攻击者已经开发出一系列工具来损害受感染的Linux系统并从中获利。


BlackMatter勒索软件是攻击燃油输送管道网络Colonial Pipeline的恶意程序DarkSide的变体,而HelloKitty最初只有Windows版,后来开发出Linux版,进军各种基于Linux的基础设施,成名战是入侵了视频游戏《赛博朋克2077》的制作商CD Projekt Red。


其他针对Linux的恶意软件变体,尤其是针对托管工作负载的Linux服务器的变体,也越来越普遍了。


报告中写道:“最近,勒索软件已发展到针对在虚拟环境中加载工作负载的Linux主机镜像。这一令人忧虑的新发展表明,攻击者致力于寻找云环境中极具价值的资产,给目标造成最大的损害。”


2月9日的勒索软件威胁警报中,网络安全与基础设施安全局(CISA)及其国际合作伙伴也指出了这一趋势。该国际网络安全机构表示,2021年最显著的变化包括使用网络钓鱼获取凭据、通过远程桌面协议(RDP)利用配置不安全的系统,以及攻击云基础设施。


警报指出:“勒索软件开发人员盯上云基础设施,想要利用云应用、虚拟机软件和虚拟机编排软件中的已知漏洞。勒索软件攻击者还针对云账户、云应用编程接口(API)和数据备份与存储系统,试图造成云资源拒绝访问和加密数据。”


攻击者也开始使用更加复杂的工具来管理对Linux基础设施的攻击。VMware的报告指出,Cobalt Strike是一款针对Windows的攻击管理系统,供红队和渗透测试人员使用,但攻击者现在也在Linux攻击活动中使用这款工具。


Baskin补充道:“Cobalt Strike正变得越来越流行,因为它是目前最成熟的成体系C2[命令和控制]基础设施。我们发现网络罪犯愈加偏爱使用这款工具,但我们同时也看到,一些可能买不起使用许可的公司也开始使用这款工具了。”


通过从分阶段服务器下载植入物,然后解构文件内容收集更具体的信息,VMware的Cobalt Strike调查发现了1.4万台Cobalt Strike服务器。VMware发现,六分之一的Cobalt Strike程序客户ID为0,表明是试用版,但其实很可能是破解版。其他四个自定义ID占了剩余Cobalt Strike服务器的近40%,表明这些实例的保护措施也受损了。


VMware《曝光Linux多云环境恶意软件》新闻稿(内含报告下载地址):

https://news.vmware.com/stories/cybercriminals-target-linux-based-systems-with-ransomware-and-cryptojacking-attacks


参考阅读

攻击者屡试不爽的15个Linux漏洞

勒索软件也有漏洞 因漏洞失去数百万赎金收入

[调研]Bugcrowd:2021年高危漏洞数量大幅增长


原文始发于微信公众号(数世咨询):[调研]Linux恶意软件呈上升趋势

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月17日15:30:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [调研]Linux恶意软件呈上升趋势http://cn-sec.com/archives/791098.html

发表评论

匿名网友 填写信息