由于Linux經(jīng)常用作云服務(wù)、虛擬機(jī)主機(jī)和基于容器的基礎(chǔ)設(shè)施等，攻擊者開始使用日益復(fù)雜的漏洞利用工具和惡意軟件攻擊Linux環(huán)境。VMware日前發(fā)布了《揭露基于Linux多云環(huán)境中的惡意軟件》研究報(bào)告(以下簡(jiǎn)稱“報(bào)告”)，報(bào)告數(shù)據(jù)顯示：以勒索軟件、加密貨幣劫持和滲透測(cè)試工具破解版為代表的惡意軟件，開始越來(lái)越多地攻擊多云基礎(chǔ)設(shè)施中的Linux系統(tǒng)及應(yīng)用。

圖1 Linux勒索軟件二進(jìn)制文件的各特征分布

VMware威脅分析部門(TAU)小組負(fù)責(zé)人Brian Baskin表示，雖然攻擊者目前還不會(huì)大規(guī)模將攻擊重點(diǎn)目標(biāo)從Windows轉(zhuǎn)移到Linux，但活動(dòng)頻繁程度明顯提升，這表明他們也開始盯上了Linux，企業(yè)組織需要提前防范這種威脅。

Brian Baskin解釋說(shuō)：“大多數(shù)攻擊研究側(cè)重于Windows方面，但我們現(xiàn)在看到針對(duì)Linux的攻擊有所增加，尤其是針對(duì)多云基礎(chǔ)設(shè)施的攻擊。我們看到的大多數(shù)情況都涉及虛擬機(jī)管理層面的錯(cuò)誤配置，或者服務(wù)器層面的共享帳戶、共享密碼以及配置不當(dāng)?shù)幕诮巧脑L問(wèn)控制?！?/p>

據(jù)介紹，針對(duì)Linux系統(tǒng)的初始攻擊通常不是通過(guò)利用漏洞，而是通過(guò)盜竊登錄信息來(lái)實(shí)現(xiàn)。VMware威脅情報(bào)高級(jí)主管Giovanni Vigna表示，雖然遠(yuǎn)程代碼執(zhí)行是闖入這類系統(tǒng)的第二大方式(比如利用盛行的Log4j漏洞)，但被盜用的身份信息常常讓攻擊者有更多的時(shí)間在受害企業(yè)的網(wǎng)絡(luò)系統(tǒng)內(nèi)部進(jìn)行探測(cè)?！澳壳翱吹降闹饕裘嫒匀皇潜槐I的登錄信息，對(duì)攻擊者而言其優(yōu)點(diǎn)是，受害者需要更長(zhǎng)的時(shí)間才能明白攻擊已發(fā)生。因?yàn)榈卿浛雌饋?lái)絕對(duì)正常，實(shí)際上攻擊者已訪問(wèn)資源，但直到事情開始朝嚴(yán)重的方向發(fā)展，才真正識(shí)別泄密事件?！?/p>

研究發(fā)現(xiàn)，如今已出現(xiàn)了多種基于Linux的惡意軟件。從勒索軟件到加密貨幣礦工，再到遠(yuǎn)程訪問(wèn)管理軟件的植入體(比如Cobalt Strike)，攻擊者已開發(fā)出一大批工具來(lái)破壞受感染的 Linux系統(tǒng)，并從中非法獲益。報(bào)告指出：“勒索軟件最近有了長(zhǎng)足發(fā)展，可以攻擊用于在虛擬化環(huán)境中啟動(dòng)工作負(fù)載的Linux主機(jī)鏡像。這個(gè)令人擔(dān)憂的新動(dòng)向表明，攻擊者如何在云環(huán)境中尋找最有價(jià)值的資產(chǎn)，以便對(duì)攻擊目標(biāo)造成最大的損害。”

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)及其國(guó)際合作伙伴在2月9日針對(duì)特定勒索軟件威脅的公告中也做出特別提醒：2021年網(wǎng)絡(luò)安全最顯著的變化之一，就是攻擊者針對(duì)云基礎(chǔ)設(shè)施發(fā)動(dòng)更具破壞力的攻擊。這份預(yù)警公告稱：“勒索軟件攻擊者對(duì)云基礎(chǔ)設(shè)施下手，利用云應(yīng)用程序、虛擬機(jī)軟件和虛擬機(jī)編排軟件中的已知漏洞實(shí)施攻擊活動(dòng)。勒索軟件威脅分子還對(duì)云帳戶、云應(yīng)用編程接口(API)以及數(shù)據(jù)備份和存儲(chǔ)系統(tǒng)進(jìn)行攻擊，阻止用戶訪問(wèn)云資源，并加密數(shù)據(jù)?！?/p>

需要特別重視的是，攻擊者還開始使用更先進(jìn)的工具來(lái)管理針對(duì)Linux基礎(chǔ)設(shè)施發(fā)動(dòng)的攻擊。VMware的報(bào)告指出，Cobalt Strike是紅隊(duì)和滲透測(cè)試人員經(jīng)常使用的面向Windows的攻擊管理系統(tǒng)，但攻擊者現(xiàn)在開始用它來(lái)攻擊Linux。VMware目前監(jiān)測(cè)了14000臺(tái)使用Cobalt Strike的服務(wù)器，具體方法是從登臺(tái)服務(wù)器下載植入體，然后解構(gòu)文件中的信息，以收集更具體的信息。調(diào)查小組發(fā)現(xiàn)，Cobalt Strike程序中六分之一版本的客戶ID為0，這表明是試用版，但這些很可能已被破解。另外四個(gè)自定義ID占剩余Cobalt Strike服務(wù)器的近40%，這表明這些服務(wù)器上的保護(hù)機(jī)制也遭到了破壞。

參考鏈接：

https://www.darkreading.com/cloud/linux-malware-on-the-rise-including-illicit-use-of-cobalt-strike