- Сообщения
- 74
- Реакции
- 156
Cреди обычных пользователей и даже ИТ-сотрудников распространено убеждение в повышенной безопасности ОС семейства Linux по сравнению с «дырявой виндой» и «попсовой макосью». Однако, как показало наше изучение вопроса, открытость исходников не избавляет Linux от ошибок и уязвимостей, которые несут риски, связанные с безопасностью. В этой статье мы рассмотрим, почему Linux стал привлекательной мишенью для злоумышленников, а также обсудим основные угрозы и риски, связанные с этой операционной системой.
Linux, которая начиналась как личный проект примерно 50 лет назад, в настоящее время является одной из самых мощных операционных систем, доминирующих на облачных платформах и серверах по всему миру. Фактически, использование Linux в настоящее время превышает использование Windows в Azure, собственной облачной платформе Microsoft.
Однако, как и любое программное обеспечение, Linux не свободен от угроз и рисков, с вязанных с безопасностью. По мере перехода всех на облако и, следовательно, на Linux, неудивительно, что киберпреступники переключат свое внимание и ресурсы на эти среды, включая их слабые места, для получения недобросовестной выгоды.
Все различные разновидности вредоносных программ, такие как программы-вымогатели, майнеры криптовалют, руткиты в режиме пользователя и ядра, черви, трояны, бэкдоры, трояны удаленного доступа (RATs), также существуют на платформе Linux. Мотивация таких атак остается прежней: финансовая выгода, шпионаж, саботаж, хактивизм или просто желание доказать, что системы могут быть скомпрометированы.
Программы-вымогатели не нуждаются в представлении. Поскольку киберпреступникам были выплачены миллионы долларов, а это, безусловно, самая успешная категория вредоносных программ за последнее время. Учитывая распространенность Linux, злоумышленники-вымогатели считают операционную систему очень прибыльной целью.
Сценарии оболочки используются для их простоты. С их помощью программисты Unix могут легко выполнять несколько команд Linux, встроенных в один файл. Сценарии оболочки интерпретируются оболочкой или интерпретатором командной строки Linux. Этим инструментом, который можно найти на всех машинах UNIX, также злоупотребляют киберпреступники.
Внедрить вредоносный скрипт проще, чем использовать скомпилированное вредоносное ПО. Популярность использования вредоносных скриптов для атак Linux объясняется несколькими причинами:
Их легко загружать в виде текстовых файлов.
Они меньше по размеру.
С меньшей вероятностью их будет легко обнаружить.
Их можно создавать "на лету".
Как только эти сценарии попадают на целевой хост, они выполняются в безопасном месте, где их нельзя пометить, например, в папке /tmp. Как правило, эти скрипты сами по себе не выполняют ничего вредоносного, хотя они подключаются к серверу управления и контроля (C & C) для загрузки вредоносного ПО.
Руткиты - это постоянные угрозы, которые трудно обнаружить или наблюдать. Основная цель руткита - сохранить себя и другие вредоносные угрозы незамеченными, с одной стороны, для администраторов, аналитиков и пользователей, а с другой - не обнаруженными средствами сканирования, судебной экспертизы и системными инструментами. Руткиты также могут открывать бэкдор или использовать сервер C & C и предоставлять злоумышленнику способы контроля и слежки за уязвимой машиной.
Umbreon
В Linux, когда программа вызывает функцию printf(), в той же библиотеке есть другие каскадные функции, которые могут быть вызваны впоследствии, такие как _IO_printf() и vprintf() . Все эти функции в конечном итоге вызывают системный вызов write() . Примером этого является руткит Umbreon, который обнаружили несколько лет назад.
Drovorub
Fancy Bear, которая также известна как Pawn Storm, Sednit, APT28, Sofacy и Strontium, является активной организацией кибершпионажа, которая приобрела печальную известность благодаря иностранному и внутреннему шпионажу, особенно в последние годы. Эта группа отвечает за набор вредоносных программ для Linux под названием Drovorub, который может подключаться к инфраструктуре C & C, загружать и загружать вредоносные файлы и выполнять RCE.
Диаморфин
Diamorphine - это руткит загружаемого модуля ядра (LKM), используемый для ядер Linux 2.6.x / 3.x / 4.x / 5.x и ARM64. Он заслуживает упоминания здесь, поскольку он использовался в недавних атаках в начале 2020 года хакерской группой TeamTNT. Согласно Cado Security, злоумышленники использовали Diamorphine вместе с разновидностью вредоносного ПО, похожего на червя Kinsing, для кражи учетных данных AWS и локальных учетных данных, а также для сканирования Интернета в поисках неправильно сконфигурированных и открытых серверов Docker и Kubernetes API. Хоть и сейчас он уде не актуальный, не могли не привести его в качестве примера.
И еще приведем пример:
- Выявили 15 различных уязвимостей, которые либо активно эксплуатируются в реальных кибератаках, либо уже имеют рабочие коды эксплойтов (PoC). Вот эти дыры:
CVE-2017-5638 (CVSS — 10.0) - удалённое выполнение кода в Apache Struts 2. CVE-2017-9805 (CVSS — 8.1) - удалённое выполнение кода в плагине REST XStreamApache Struts 2. CVE-2018-7600 (CVSS — 9.8) - удалённое выполнение кода в ядре Drupal. CVE-2020-14750 (CVSS — 9.8) - удалённое выполнение кода в Oracle WebLogic Server. CVE-2020-25213 (CVSS — 10.0) - удалённое выполнение кода в плагине WordPress File Manager (wp-file-manager). CVE-2020-17496 (CVSS — 9.8) - удалённое выполнение кода в vBulletin ‘subwidgetConfig’. CVE-2020-11651 (CVSS — 9.8) - уязвимость в процессе авторизации SaltStack Salt. CVE-2017-12611 (CVSS — 9.8) - удалённое выполнение кода в Apache Struts OGNL. CVE-2017-7657 (CVSS — 9.8) - целочисленное переполнение в Eclipse Jetty. CVE-2021-29441 (CVSS — 9.8) - обход аутентификации Alibaba Nacos AuthFilter. CVE-2020-14179 (CVSS — 5.3) - раскрытие информации в Atlassian Jira. CVE-2013-4547 (CVSS — 8.0) - обход ограничений доступа в Nginx. CVE-2019-0230 (CVSS — 9.8) - удалённое выполнение кода в Apache Struts 2. CVE-2018-11776 (CVSS — 8.1) - удалённое выполнение кода в Apache Struts OGNL. CVE-2020-7961 (CVSS — 9.8) - десериализация в Liferay Portal.
Повсеместное распространение Linux и его использование для обработки важной информации делают его очень прибыльной целью для злоумышленников. Доказательством тому служит растущий список семейств программ-вымогателей, нацеленных на Linux, и огромное количество уязвимостей, используемых злоумышленниками для компрометации среды Linux. Эти угрозы на базе Linux подтверждают необходимость усиления безопасности, особенно для предприятий и организаций, которые используют операционную систему на критически важных бизнес-платформах.
После изучения данного материала, задайте себе один вопрос - ты до сих пор считаешь себя в безопастности работая онлаин?
Не стоит строить свою безопасность на советах в интернете - обратитесь к специалистам и они подскажут, как грамотно скрыть свое присутствие при работе в сети!
И помните друзья - За безопасность необходимо платить, а за ее отсутствие расплачиваться.
Linux, которая начиналась как личный проект примерно 50 лет назад, в настоящее время является одной из самых мощных операционных систем, доминирующих на облачных платформах и серверах по всему миру. Фактически, использование Linux в настоящее время превышает использование Windows в Azure, собственной облачной платформе Microsoft.
Однако, как и любое программное обеспечение, Linux не свободен от угроз и рисков, с вязанных с безопасностью. По мере перехода всех на облако и, следовательно, на Linux, неудивительно, что киберпреступники переключат свое внимание и ресурсы на эти среды, включая их слабые места, для получения недобросовестной выгоды.
Все различные разновидности вредоносных программ, такие как программы-вымогатели, майнеры криптовалют, руткиты в режиме пользователя и ядра, черви, трояны, бэкдоры, трояны удаленного доступа (RATs), также существуют на платформе Linux. Мотивация таких атак остается прежней: финансовая выгода, шпионаж, саботаж, хактивизм или просто желание доказать, что системы могут быть скомпрометированы.
Программы-вымогатели не нуждаются в представлении. Поскольку киберпреступникам были выплачены миллионы долларов, а это, безусловно, самая успешная категория вредоносных программ за последнее время. Учитывая распространенность Linux, злоумышленники-вымогатели считают операционную систему очень прибыльной целью.
Сценарии оболочки используются для их простоты. С их помощью программисты Unix могут легко выполнять несколько команд Linux, встроенных в один файл. Сценарии оболочки интерпретируются оболочкой или интерпретатором командной строки Linux. Этим инструментом, который можно найти на всех машинах UNIX, также злоупотребляют киберпреступники.
Внедрить вредоносный скрипт проще, чем использовать скомпилированное вредоносное ПО. Популярность использования вредоносных скриптов для атак Linux объясняется несколькими причинами:
Их легко загружать в виде текстовых файлов.
Они меньше по размеру.
С меньшей вероятностью их будет легко обнаружить.
Их можно создавать "на лету".
Как только эти сценарии попадают на целевой хост, они выполняются в безопасном месте, где их нельзя пометить, например, в папке /tmp. Как правило, эти скрипты сами по себе не выполняют ничего вредоносного, хотя они подключаются к серверу управления и контроля (C & C) для загрузки вредоносного ПО.
Руткиты - это постоянные угрозы, которые трудно обнаружить или наблюдать. Основная цель руткита - сохранить себя и другие вредоносные угрозы незамеченными, с одной стороны, для администраторов, аналитиков и пользователей, а с другой - не обнаруженными средствами сканирования, судебной экспертизы и системными инструментами. Руткиты также могут открывать бэкдор или использовать сервер C & C и предоставлять злоумышленнику способы контроля и слежки за уязвимой машиной.
Umbreon
В Linux, когда программа вызывает функцию printf(), в той же библиотеке есть другие каскадные функции, которые могут быть вызваны впоследствии, такие как _IO_printf() и vprintf() . Все эти функции в конечном итоге вызывают системный вызов write() . Примером этого является руткит Umbreon, который обнаружили несколько лет назад.
Drovorub
Fancy Bear, которая также известна как Pawn Storm, Sednit, APT28, Sofacy и Strontium, является активной организацией кибершпионажа, которая приобрела печальную известность благодаря иностранному и внутреннему шпионажу, особенно в последние годы. Эта группа отвечает за набор вредоносных программ для Linux под названием Drovorub, который может подключаться к инфраструктуре C & C, загружать и загружать вредоносные файлы и выполнять RCE.
Диаморфин
Diamorphine - это руткит загружаемого модуля ядра (LKM), используемый для ядер Linux 2.6.x / 3.x / 4.x / 5.x и ARM64. Он заслуживает упоминания здесь, поскольку он использовался в недавних атаках в начале 2020 года хакерской группой TeamTNT. Согласно Cado Security, злоумышленники использовали Diamorphine вместе с разновидностью вредоносного ПО, похожего на червя Kinsing, для кражи учетных данных AWS и локальных учетных данных, а также для сканирования Интернета в поисках неправильно сконфигурированных и открытых серверов Docker и Kubernetes API. Хоть и сейчас он уде не актуальный, не могли не привести его в качестве примера.
И еще приведем пример:
- Выявили 15 различных уязвимостей, которые либо активно эксплуатируются в реальных кибератаках, либо уже имеют рабочие коды эксплойтов (PoC). Вот эти дыры:
CVE-2017-5638 (CVSS — 10.0) - удалённое выполнение кода в Apache Struts 2. CVE-2017-9805 (CVSS — 8.1) - удалённое выполнение кода в плагине REST XStreamApache Struts 2. CVE-2018-7600 (CVSS — 9.8) - удалённое выполнение кода в ядре Drupal. CVE-2020-14750 (CVSS — 9.8) - удалённое выполнение кода в Oracle WebLogic Server. CVE-2020-25213 (CVSS — 10.0) - удалённое выполнение кода в плагине WordPress File Manager (wp-file-manager). CVE-2020-17496 (CVSS — 9.8) - удалённое выполнение кода в vBulletin ‘subwidgetConfig’. CVE-2020-11651 (CVSS — 9.8) - уязвимость в процессе авторизации SaltStack Salt. CVE-2017-12611 (CVSS — 9.8) - удалённое выполнение кода в Apache Struts OGNL. CVE-2017-7657 (CVSS — 9.8) - целочисленное переполнение в Eclipse Jetty. CVE-2021-29441 (CVSS — 9.8) - обход аутентификации Alibaba Nacos AuthFilter. CVE-2020-14179 (CVSS — 5.3) - раскрытие информации в Atlassian Jira. CVE-2013-4547 (CVSS — 8.0) - обход ограничений доступа в Nginx. CVE-2019-0230 (CVSS — 9.8) - удалённое выполнение кода в Apache Struts 2. CVE-2018-11776 (CVSS — 8.1) - удалённое выполнение кода в Apache Struts OGNL. CVE-2020-7961 (CVSS — 9.8) - десериализация в Liferay Portal.
Повсеместное распространение Linux и его использование для обработки важной информации делают его очень прибыльной целью для злоумышленников. Доказательством тому служит растущий список семейств программ-вымогателей, нацеленных на Linux, и огромное количество уязвимостей, используемых злоумышленниками для компрометации среды Linux. Эти угрозы на базе Linux подтверждают необходимость усиления безопасности, особенно для предприятий и организаций, которые используют операционную систему на критически важных бизнес-платформах.
После изучения данного материала, задайте себе один вопрос - ты до сих пор считаешь себя в безопастности работая онлаин?
Не стоит строить свою безопасность на советах в интернете - обратитесь к специалистам и они подскажут, как грамотно скрыть свое присутствие при работе в сети!
И помните друзья - За безопасность необходимо платить, а за ее отсутствие расплачиваться.
