Linux作為最常見的云操作系統(tǒng)，是數(shù)字基礎(chǔ)架構(gòu)的核心部分，也正在迅速成為攻擊者進入多云環(huán)境的入場券。目前的惡意軟件應(yīng)對策略主要是解決基于Windows系統(tǒng)的威脅，這使得許多公有云和私有云部署很容易受到針對基于Linux工作負(fù)載的攻擊。

近日，VMware發(fā)布威脅報告《揭露Linux多云環(huán)境中的惡意軟件》，其中詳細說明了網(wǎng)絡(luò)犯罪分子如何使用惡意軟件攻擊基于Linux操作系統(tǒng)。報告的主要發(fā)現(xiàn)包括：

• 勒索軟件正集中攻擊Linux虛機鏡像，這些虛機鏡像被用于在虛擬環(huán)境中生成工作負(fù)載

• 89%的加密劫持（cryptojacking）攻擊使用XMRig相關(guān)的庫

• 超半數(shù)的Cobalt Strike用戶可能是網(wǎng)絡(luò)犯罪分子，或是非法使用Cobalt Strike。

VMware威脅情報高級主管Giovanni Vigna表示：“網(wǎng)絡(luò)犯罪分子正大幅擴大攻擊范圍，他們將針對基于Linux操作系統(tǒng)的惡意軟件添加到工具包中，試圖以最小的成本發(fā)揮最大影響。網(wǎng)絡(luò)犯罪分子并非從感染端點入手，然后逐步轉(zhuǎn)向更高價值目標(biāo)，而是入侵那些能給他帶來最大收益和訪問權(quán)限的單個服務(wù)器。攻擊者將公有云和私有云視為高價值目標(biāo)，使得他們可以訪問關(guān)鍵基礎(chǔ)架構(gòu)服務(wù)和機密數(shù)據(jù)。不幸的是，目前防御惡意軟件攻擊的策略仍主要集中在解決基于Windows的威脅上，這使得許多公有云和私有云部署容易受到基于Linux操作系統(tǒng)的攻擊。”

在急劇變化的威脅環(huán)境中，隨著針對基于 Linux操作系統(tǒng)的惡意軟件數(shù)量和復(fù)雜性不斷增加，組織機構(gòu)必須更加重視威脅檢測。在這份報告中，VMware 威脅分析部門 (TAU) 分析了多云環(huán)境中基于Linux操作系統(tǒng)的威脅：勒索軟件、加密礦工和遠程訪問工具。

勒索軟件以云為目標(biāo)，試圖將損害最大化

作為企業(yè)機構(gòu)數(shù)據(jù)泄露的主要原因之一，云環(huán)境中的勒索軟件攻擊能夠帶來災(zāi)難性后果。對于云部署的勒索軟件攻擊是有針對性的，且通常與數(shù)據(jù)泄露相結(jié)合，實施雙重勒索，以提高成功幾率。新的進展表明，勒索軟件正集中攻擊Linux虛機鏡像，這些虛機鏡像被用于在虛擬環(huán)境中生成工作負(fù)載。攻擊者現(xiàn)在正在尋找云環(huán)境中最有價值的資產(chǎn)，以對目標(biāo)造成最大程度的損害。例如Defray777勒索軟件系列，其加密了ESXi服務(wù)器上的虛機鏡像。以及DarkSide勒索軟件系列，它破壞了Colonial Pipeline的網(wǎng)絡(luò)并導(dǎo)致了美國全國范圍內(nèi)的汽油短缺。

加密劫持攻擊使用XMRig挖掘Monero

追求快速貨幣收益的網(wǎng)絡(luò)犯罪分子通常緊盯加密貨幣，通過在惡意軟件中加入竊取錢包的功能，或是利用被盜的CPU周期獲利，從而在稱為加密劫持的攻擊中成功挖掘加密貨幣。大多數(shù)加密劫持攻擊都集中在挖掘Monero貨幣（或XMR），VMware威脅分析部門發(fā)現(xiàn)89%的加密礦工都在使用XMRig相關(guān)的庫。出于這個原因，當(dāng)Linux二進制文件中的XMRig特定庫和模塊被識別時，它很可能是惡意加密行為的證據(jù)。VMware威脅分析部門還發(fā)現(xiàn)，防御規(guī)避是加密礦工最常用的技術(shù)。不幸的是，由于加密劫持攻擊不會像勒索軟件那樣完全破壞所在的云環(huán)境，因此它們更難被檢測到。

Cobalt Strike是攻擊者首選的遠程訪問工具

為了獲得控制權(quán)并在環(huán)境中持續(xù)存在，攻擊者希望在受感染的系統(tǒng)上安裝植入程序，從而使他們能夠部分控制機器。惡意軟件、webshell和遠程訪問工具（RAT）都可能是攻擊者在受感染系統(tǒng)中使用的植入程序，以實現(xiàn)遠程訪問。攻擊者使用的主要植入程序之一是Cobalt Strike以及它最近的基于Linux的Vermilion Strike變體。由于Cobalt Strike已經(jīng)是Windows上的普遍威脅，它現(xiàn)在擴展到基于 Linux的操作系統(tǒng)，這表明威脅者希望利用現(xiàn)成的工具來針對盡可能多的平臺。

2020年2月至2021年11月期間，VMware威脅分析部門在互聯(lián)網(wǎng)上發(fā)現(xiàn)了14000多個活躍的 Cobalt Strike Team服務(wù)器。破解和泄露的Cobalt Strike用戶信息總百分比為56%，這意味著超半數(shù)的Cobalt Strike用戶可能是網(wǎng)絡(luò)犯罪分子，或至少是在非法使用Cobalt Strike。Cobalt Strike和Vermilion Strike等RAT已成為網(wǎng)絡(luò)犯罪分子的商品工具，這一事實對企業(yè)構(gòu)成了重大威脅。

VMware威脅研究經(jīng)理Brian Baskin表示：“自從我們實施分析以來，觀察到越老越多的勒索軟件系列被針對基于Linux系統(tǒng)的惡意軟件所吸引，并有可能利用Log4j漏洞進行額外攻擊。本報告中的發(fā)現(xiàn)可用于更好地了解這種惡意軟件的性質(zhì)，并減輕勒索軟件、加密貨幣挖礦和RAT對多云環(huán)境日益增長的威脅。隨著針對云的攻擊不斷發(fā)展，組織應(yīng)采用零信任方法在其基礎(chǔ)架構(gòu)中嵌入安全性能，并系統(tǒng)性地解決構(gòu)成其攻擊面的威脅向量?！?/p>

戴爾易安信PowerEdge R340 機架式服務(wù)器(Xeon E-2224/8GB/2TB)

領(lǐng)券滿8000減211

[經(jīng)銷商]京東商城

[產(chǎn)品售價]10299元

進入購買

聯(lián)想ThinkSystem SR850(Xeon Gold 5220*2/32GB/1.2TB*4)  

[經(jīng)銷商]京東商城

[產(chǎn)品售價]51799元

進入購買

浪潮NF2180M3(FT2000+/32GB*8/960GB*2+12TB*4/9361-8i)

[經(jīng)銷商]京東商城

[產(chǎn)品售價]83599元

進入購買

關(guān)鍵詞： 網(wǎng)絡(luò)犯罪 Linux