Aanvallen op Linux-systemen nemen zowel in volume als complexiteit toe. Criminelen gebruiken kwetsbaarheden vooral voor ransomware-aanvallen, cryptominers en toegang op afstand. Beveiligingsonderzoekers van Vmware delen in een nieuw rapport de meest voorkomende methoden die kwaadwillenden gebruiken en roepen op om die dreigingen serieus te nemen om schade te voorkomen.
In het onderzoeksrapport Exposing Malware in Linux-Based Multi-Cloud Environments staat uitgelegd hoe cybercriminelen malware gebruiken om Linux-gebaseerde besturingssystemen aan te vallen.
Een belangrijke bevinding uit het rapport is dat ransomware zich steeds vaker richt op host images die worden gebruikt om workloads in gevirtualiseerde omgevingen te draaien. Verder blijkt dat 89 procent van de cryptojacking-aanvallen gebruik maakt van XMRig-gerelateerde libraries. Ook zien de onderzoekers van VMware een toename van de inzet van systemen voor penetratietests en hulp op afstand, zoals de simulatietool Cobalt Strike. Vaak worden illegale accounts aangemaakt om systemen binnen te dringen.
‘In plaats van een endpoint te infecteren en daarna naar een hoogwaardig target te navigeren, hebben cybercriminelen ontdekt dat het compromitteren van een enkele server een enorme winst kan opleveren. Op deze manier krijgen ze ook de toegang waarnaar ze op zoek zijn’, stelt hoofd dreigingsinformatie Giovanni Vigna.
Hij ziet dat de huidige maatregelen tegen malware vooral gericht zijn op Windows-gebaseerde dreigingen. Publieke en private clouds blijven daardoor kwetsbaar voor aanvallen op Linux-systemen. Zeker nu aanvallers publieke en private clouds zien als waardevolle doelwitten doordat deze toegang bieden tot essentiële infrastructuur-diensten en vertrouwelijke data.
Ransomware
Ransomware voor Linux richt zich ook steeds meer op host images die worden gebruikt om workloads in gevirtualiseerde omgevingen te draaien. Vmware: ‘Criminelen zijn op zoek naar de meest waardevolle assets in cloudomgevingen om het doelwit maximale schade toe te brengen.’ Als voorbeelden noemen de onderzoekers de Defray777-variant, die host images op ESXi-servers versleutelde, en de DarkSide-variant. Die laatste legde de netwerken van Colonial Pipeline lam en veroorzaakte een benzinetekort in de VS.
Cybercriminelen die voor snel financieel gewin gaan, richten zich vaak op cryptovaluta en gebruiken daarbij twee veelvoorkomende methoden. Ze nemen functionaliteit voor het stelen van wallets op in malware of ze maken, in een aanval die cryptojacking wordt genoemd, gebruik van gestolen cpu-cycli om cryptovaluta te minen.
VMware ziet dat de meeste cryptojacking-aanvallen gericht zijn op het minen van de Monero-valuta. Het bedrijf ontdekte dat 89 procent van de cryptominers XMRig-gerelateerde libraries gebruikte. Als deze libraries en modules in Linux-binaries worden geïdentificeerd, is dat waarschijnlijk een bewijs van kwaadaardige cryptomining. De onderzoekers waarschuwen dat cryptojacking moeilijker op te sporen is doordat een aanval de werking van cloudomgevingen niet volledig verstoort. Bij ransomware of ddos is dat vaak wel het geval.
De aanval op Linux-gebaseerde systemen lijkt me logisch als deze in aantallen steeds vaker de Windows-gebaseerde systemen overtroeven. Handig ook dat je hier gebruik kunt maken van zwakheden die algemeen zijn in verschillende distro’s zodat je de effectiviteit vergroot. Ik ben trouwens benieuwd in hoeverre een ooit door Reza genoemde zwakheid van onbetrouwbare buren op een gedeeld netwerk van toepassing is. Jan of Dino enig idee?
Iedereen die een vserver / rserver of dedicated server opzet in linux kan echt overal vinden welke security opgezet moet worden.
Het probleem met beveiliging is bij linux niet anders als bij andere OSsen.
Vertrouw je je beveiliger / beveiligingssoftware?
En ja ook linux heeft “zwakke plekken” alleen komen de patches meest sneller als bij closed source / comerciele pakketten.
Security / veiligheid is nu eenmaal een proces, geen toestand, dus updates, updates, updates en lezen, lezen, lezen zodat je de boze jongens voor blijft, ook monitoring helpt, alleen als iets opvalt is het vaak al te laat.
Jan,
Naar mijn mening zou de juiste vraag om de bron moeten gaan bij open source. Cybercriminelen kunnen tenslotte een extra stukje code mee compileren in een distributie. En natuurlijk heb je in theorie zoiets als hashcheck maar in de praktijk is dat als de voorwaarden lezen. Wat betreft gestolen CPU-cycli is zo’n koekoeksei natuurlijk niet netjes maar vanuit de wederkerigheid wel begrijpelijk als het om gratis gaat, zou een opt-in het spelletje legaliseren?
“Iedereen die een vserver / rserver of dedicated server opzet in linux kan echt overal vinden welke security opgezet moet worden.”
moet worden ? van wie ? en containers dan ?
de klant met zijn doet-die-nieuwe-feature-het-al, die je in de sprint beloofd had. mijn klanten zijn nooit zo’n blij met ongevraagde security updates, updates, updates en lezen, lezen, lezen als sprint resultaat. het kunnen herbouwen vanuit code waarbij je geen restore doet van wellicht al geinfecteerde systemen, maar misschien wel rottigheid binnenhaalt van een nieuwe image. en dat lezen, lezen, lezen, nog niet gevonden wat reza schreef over die onbetrouwbare buren.
de klant, met een of andere license manager die met privileged account moet draaien op alle servers, zijn eigen repos en externe servers en het onduidelijk is hoe de software werkt.
gaat vaak ook om communicatie, met linux bedoelen we allemaal wat anders. distro, kernel, core-packages, veel gebruikte software..
bedrijfspolicies, wie is verantwoordelijk voor wat ? is er een apart testteam, security team ? en zo ja, wat moet je zelf dan nog met test en security ?
er is geen tekort aan schrijvers van mooie verhalen over richtlijnen en procedures. om u nog beter van dienst te kunnen zijn stellen we de patchronde weer een keertje uit.
realiteit is dat er allerlei richtlijnen en best-practices zijn en daar pikken we naar eigen inzicht of gebrek daaraan een aantal uit. we doen maar wat 2.0.
net als vroeger.