惡意軟件遷移到基於 Linux 的雲系統SC Media基於 Linux 的威脅經常被忽視。這是一個問題,因爲大多數多雲環境都是基於 Linux 的。VMware 最近在一份報告和 SC Media 網絡廣播中強調了這個問題。
這是事實:大多數雲在 Linux 上運行。90% 的雲由 Linux 操作系統提供支持。可預見的是,惡意軟件會隨之而來,這個問題肯定會出現。但大多數現代安全工具旨在解決基於 Windows 的威脅。
考慮到這一演變,VMware 的威脅分析部門最近着手研究基於 Linux 的惡意軟件增長情況及其對多雲環境的威脅。
本 SC Media Special Focus 對 VMware 的調查結果進行了簡要概述,包括基於 Linux 的遠程訪問工具(RAT)、勒索軟件和基於 Linux 的系統上的加密挖礦者的獨特特徵。還包括關於安全團隊如何保護其組織免受基於 Linux 的惡意軟件、勒索軟件和加密挖礦者的指導。
“如果您瞭解基礎架構和雲,Linux 是最流行的操作系統,它爲您每天訪問的許多網站提供支持。但是,由於各種原因,惡意軟件研究的重點主要集中在 Windows 威脅方面。” -Giovanni Vigna VMware 威脅情報高級總監
多雲系統中日益增長的 Linux 威脅
VMware 研究人員目睹了針對雲基礎架構的攻擊,甚至使用雲管理工具關閉虛擬化系統,以便他們可以加密系統、工作負載和數據。威脅參與者,例如勒索軟件團伙 HelloKitty,通過開發用於攻擊的新版本軟件,從 Windows 系統轉移到 Linux。
“對我們而言,更仔細地研究這些類型的威脅變得很重要,”Vigna 說。“我們還看到了如何利用開放的 Docker 基礎設施和開放的 Kubernetes 基礎設施來部署新的 [惡意軟件]組件。”
Linux 勒索軟件的興起
至少在最初,持續的勒索軟件攻擊與任何其他類型的妥協非常相似。目前有一些初始侵入行爲,例如被利用的應用程序或成功的網絡釣魚攻擊。然後,攻擊者深入挖掘並在環境中獲得持久的立足點。一旦建立立足點,攻擊者將啓動命令和控制通信線路,以便可以輕鬆執行勒索軟件。但是,攻擊者不會泄露數據,而是對數據或關鍵系統進行加密(本質上是拒絕訪問)直到收到付款。
攻擊者最近首先竊取了受害者的數據;如果不支付贖金,他們威脅要在暗網上發佈這些數據。VMware 研究團隊還目睹了勒索軟件攻擊者將目標從單個安裝轉移到攻擊數據中心,再到針對雲工作負載的轉變。“這是一個令人擔憂的趨勢,我相信隨着雲變得越來越重要,在可預見的未來,這種趨勢將持續下去”,Vigna 說。
勒索軟件演變的部分原因是它越來越多地針對 Linux 系統。Defray777 等勒索軟件會加密 VMware ESXi 服務器上的主機映像。在其研究中,VMware 分析了九個以 Linux 系統爲目標的勒索軟件系列。這些系列包括 Erebus、GonnaCry 和 eCh0raix。研究團隊通過分析惡意軟件(包括相關的 shell 和 Python 腳本和二進制文件)發現了大量的代碼共享。這包括 DarkSide 和 BlackMatter 等廣泛傳播的惡意軟件,以及與 REvil 共享代碼片段的 ViceSociety。研究人員進一步確定了基於 Linux 的勒索軟件的功能,並將其與 MITRE ATT&K 框架相關聯。他們在 59% 的樣本中發現了防禦規避、混淆的文件或信息,在 18% 的樣本中發現了系統信息,在近 11% 的樣本中發現了去混淆/解碼的文件或信息。
爲了緩解 Linux 勒索軟件威脅,VMware 團隊建議企業遵循最佳安全操作規範,包括合適的數據備份和恢復流程、EDR 解決方案和 NDR,以發現網絡上的攻擊。
基於 Linux 的加密挖礦者
VMware 使用相同的方法研究了加密挖掘惡意軟件。竊取計算能力的過程,通常稱爲“加密劫持”,是用加密挖掘軟件感染系統並竊取系統 CPU 資源的過程,本質上是創建一種數字貨幣。這比用勒索軟件感染企業,然後試圖勒索這些受害者以換取現金的風險要小得多。
但這些攻擊可能代價高昂,並且消耗更昂貴的電費,增加與雲計算消耗相關的成本,並將導致對雲和系統性能的影響。但是,由於這些攻擊不像捕獲系統或數據那樣大膽,它們可能會在一段時間內不爲人知。
加密劫持攻擊對於雲系統並不陌生。
當 VMware 研究人員將他們的分析應用於加密挖礦者時,他們發現幾乎所有挖礦者都使用 XMRig。Vigna 說,XMRig 代碼共享的數量使研究人員能夠跟蹤基於 Linux 的挖掘軟件演變。
該團隊還檢查了他們收集的加密挖掘樣本的行爲。與勒索軟件樣本中觀察到的行爲類似,防禦規避是最常用的技術。關於與防禦規避相關的加密方法,加密挖礦者用於混淆數據的技術似乎更加多樣化。
“此外,例如,我們注意到加密挖礦者不太關心檢測他們是否處於虛擬化工作負載上,而勒索軟件非常活躍地試圖逃避分析”,Vigna 說。
爲了檢測和緩解威脅,VMware 研究人員建議認爲,網絡流量分析是識別加密劫持攻擊的最佳方法。這將發現本地主機與外部通信。但是,由於越來越多地使用複雜的混淆技術,越來越需要依靠端點檢測和響應工具以識別可疑的 CPU 使用模式。這就是爲什麼團隊建議使用基於主機和網絡的檢測系統監控雲環境的原因。
“第一次加密劫持攻擊是針對特斯拉的公共雲,這是一個 Kubernetes 部署被劫持並專門用於挖掘貨幣,而計算成本由特斯拉支付。這一臭名昭著的事件只是針對雲環境 CPU 週期的一系列事件中的第一個。”–VMware 研究人員
遠程訪問木馬和 Cobalt Strike
當然,攻擊者通常不會爲了利用它而攻擊Linux 和雲(以及其他)系統:他們心中有一個目標。無論該目標是勒索軟件、加密劫持或其他目標。爲此,攻擊者必須在環境中獲得控制權,例如創建臨時服務器,以便他們可以針對其他網絡系統並橫向、更深入地進入組織。遠程訪問木馬 (RAT) 和其他植入程序就是這種情況,它們用作使用鍵盤記錄器監控端點、截取屏幕截圖、泄露或破壞數據、植入其他惡意軟件(例如勒索軟件)等方式。
這就是攻擊者如何獲得和保持控制、持久性並進一步實現他們的目標。
VMware 威脅分析部門的技術主管 Brian Baskin ,解釋道,瞭解對手使用哪些機制控制環境以及如何激活和引爆環境對於抵禦這些威脅至關重要。
RAT 和其他植入程序所做的第一件事就是掃描網絡上可訪問的其他系統。
攻擊者可能會掃描整個 IP 地址範圍,或者由於服務器和高價值系統通常存儲在該範圍的低端或高端,攻擊者將掃描該範圍的這些區域。隨着系統被識別,關於這些系統的信息(地址、主機名、活動用戶帳戶、操作系統和軟件版本)將被收集。
爲了不被發現進行這種識別的攻擊者植入程序,通信保持儘可能隱蔽。他們以多種方式做到這一點。
它們可能在現有的加密隧道中運行,也可能只是在後臺運行的另一個常規運行服務或應用程序。VMware 的研究表明,在基於 Linux 的多雲環境中,植入活動作爲常規 cron 任務執行,它們是任務調度程序。這些程序允許 Linux、macOS 和 Unix 環境安排進程以定期運行。這些程序可以包括定期重新啓動植入程序,從而幫助增加植入程序的持久性。
這種持久性用於在環境中橫向移動。在橫向移動過程中,攻擊者會發現其他易受攻擊的系統並安裝更多植入程序,以增加它們的耐受力以及在環境中更深移動的能力。攻擊者還將尋求大量有價值的數據以及具有高訪問權限級別的系統。這可能會持續數週和數月。
並非所有植入程序都被設計爲惡意工具。有時就像 Cobalt Strike 一樣,安全團隊使用這些程序幫助更好地保護他們的環境。
“我們必須關注有效載荷如何實際實施。他們將使用那臺受感染的設備跳轉到下一臺設備。他們將枚舉環境中的所有資源,例如操作系統和漏洞,然後使用他們可以利用的任何漏洞進行移動。” –Brian Baskin 技術負責人,VMware 威脅分析部
基於 Linux 的攻擊管理工具
攻擊管理工具是雙重用途的攻擊工具,因爲它們對攻擊者和防禦者都有用。這些工具提供了發現網絡資產、獲得未經授權的訪問以及進行命令和控制通信的能力。Cobalt Strike 是此類工具之一。從本質上講,Cobalt Strike 使企業安全團隊能夠模擬對其系統的實際攻擊。Cobalt Strike 使用一個名稱爲 Beacon 的植入程序,它可以回傳並收集要執行的任務。但是,攻擊者也發現 Cobalt Strike 豐富的工具集和功能很有價值。
攻擊者發現 Cobalt Strike 非常有價值,因此他們採用其的植入程序(Beacon)並將其重新實現爲基於 Linux 的 VermilionStrike。Vermilion Strike 是一種基於 Linux 的 RAT,它使用 Cobalt Strike 後端、相同的協議、結構、數據格式,並將其與實際的 Cobalt Strike C2 服務器進行通信。這就是爲什麼攻擊者可以使用 Cobalt Strike 並將其部署在他們的環境中、對其進行託管,並使用 Vermilion Strike 信標將他們的目標系統擴展到 Linux 系統。
正如 VMware 的報告中所指出的,Vermilion Strike 似乎是 Cobalt Strike 協議的第一次重新實際實現。
企業檢測 RAT 的能力對於成功保護其網絡至關重要。Vermilion Strike 等 RAT 通常在攻擊生命週期的早期使用,因爲它們會將更多惡意軟件添加到受害者環境中。VMware 研究人員已經確定,NDR 軟件和 EDR 解決方案的健康組合可以幫助在這些攻擊開始之前阻止攻擊。
“由於 Cobalt Strike 在 Windows 上是非常普遍的威脅,因此它擴展到其他操作系統(如 Linux)值得人們注意。它表明威脅行爲者希望使用現有的遠程控制工具將盡可能多的平臺作爲目標。” –VMware 研究人員
結論:降低風險
VMware 建議組織將其安全計劃視爲其運營和業務環境不可或缺的一部分。要保護多雲環境免受 RAT 和其他形式的惡意軟件和惡意攻擊,首先需要在全面系統背景下了解工作負載,以便安全和技術團隊可以輕鬆地確定緩解措施的優先順序。
根據 VMware 的觀點,這需要一個 EDR 解決方案,該解決方案可以監控進程對雲工作負載執行的操作,並實施有效的分段以控制風險。此外,組織機構需要一個能夠識別基於網絡的攻擊證據和惡意橫向移動的 NDR 系統,以便在惡意軟件控制目標主機之前有效地阻止。
此外,爲了充分保護雲系統,VMware 建議必須保護所有工作負載訪問和通信,無論是在特定雲中還是從雲到雲。此外,爲了阻止攻擊者在環境中快速橫向移動,應該制定零信任策略,以便正確且持續地審查用戶、設備、工作負載和網絡。
最後,正如勒索軟件、加密劫持和 RAT 已經轉移到 Linux 系統並使多雲環境面臨風險一樣,更多的惡意軟件可能會將 Linux 操作系統作爲攻擊目標。防禦這種威脅需要基於最佳操作規範和良好深度防禦的強大安全計劃,包括保護底層基礎設施。
這意味着在用戶、設備、工作負載和網絡的控制點之間將安全性作爲內置分佈式服務提供。
這將越來越多地包括有效的數據備份和恢復過程以及 EDR 和 NDR 功能。
由於威脅行爲者越來越多地將 Linux 和多雲系統作爲攻擊目標,因此企業越來越需要盡其所能保護這些系統。
內容來源|公衆號:VMware 中國研發中心
有任何疑問,歡迎掃描下方公衆號聯繫我們哦~
