vendredi, 19 août 2022

Les logiciels malveillants Linux ont le vent en poupe : 6 types d’attaques à rechercher

Crédit : Dreamstime

Linux est une cible convoitée. Il s’agit du système d’exploitation hôte pour de nombreux backends et serveurs d’applications et alimente un large éventail de gadgets Web of Things (IoT). Pourtant, des mesures inadéquates sont prises pour protéger les machines qui les exécutent.

« Les logiciels malveillants Linux ont été massivement négligés », a déclaré Giovanni Vigna, directeur principal des renseignements sur les dangers chez VMware.  » Étant donné que la plupart des hôtes cloud exécutent Linux, la capacité de mettre en péril les plates-formes basées sur Linux permet à l’attaquant d’accéder à une énorme quantité de ressources ou d’infliger des dégâts considérables via des ransomwares et des essuie-glaces. « 

Récemment, les cybercriminels et les stars des États-nations ont ciblé les systèmes basés sur Linux. L’objectif était souvent de pénétrer les réseaux d’entreprises et du gouvernement fédéral ou d’accéder à des installations vitales, selon un récent rapport de VMware. Ils tirent parti d’une authentification faible, de vulnérabilités non corrigées et de mauvaises configurations de serveur, pour n’en nommer que quelques-uns.

Les logiciels malveillants Linux ne deviennent plus juste plus répandue mais également plus variée. L’entreprise de sécurité Intezer a examiné l’originalité du code du stress des logiciels malveillants pour voir à quel point les auteurs sont ingénieux. Il a découvert une augmentation de la plupart des catégories de logiciels malveillants en 2021 par rapport à 2020, consistant en ransomwares, chevaux de Troie bancaires et botnets.

« Cette augmentation du ciblage Linux pourrait être associée au fait que les organisations se déplacent de manière significative vers des environnements cloud, qui comptent fréquemment sur Linux pour leur fonctionnement », selon un rapport.  » Le niveau de développement des logiciels malveillants Linux s’est rapproché de celui des logiciels malveillants basés sur Windows. « 

Alors que les logiciels malveillants Linux continuent d’évoluer, les entreprises doivent prendre note des attaques les plus courantes et renforcer la sécurité à chaque action tout au long du processus. méthode.  » Bien que Linux puisse être plus sûr que d’autres systèmes d’exploitation, il est essentiel de noter qu’un système d’exploitation n’est aussi sûr que son maillon le plus faible « , a déclaré Ronnie Tokazowski, principal conseiller en matière de danger chez Cofense.

Ce sont les 6 types d’attaques sur Linux à surveiller :

1. Les ransomwares ciblent les images de machines virtuelles

Ces dernières années, les gangs de ransomwares ont en fait commencé à jeter un coup d’œil sur les environnements Linux. La qualité des échantillons de logiciels malveillants varie considérablement, mais des gangs tels que Conti, DarkSide, REvil et Hive améliorent rapidement leurs capacités.

Habituellement, les attaques de ransomwares contre les environnements cloud sont soigneusement planifiées. Selon VMware, les cybercriminels tentent de compromettre totalement leur victime avant de commencer à chiffrer les fichiers.

Récemment, des groupes comme RansomExx/Defray777 et Conti ont commencé à cibler les images hôtes Linux utilisées pour travailler dans des environnements virtualisés.  » Cette nouvelle et inquiétante avancée montre comment les agresseurs recherchent les propriétés les plus précieuses dans les environnements cloud pour causer le maximum de dégâts « , lit-on dans le rapport de VMware.

Le chiffrement des images de créateurs virtuels hébergées sur les hyperviseurs ESXi présente un intérêt particulier pour ces gangs parce qu’ils comprennent qu’ils peuvent affecter considérablement les opérations. C’est « un thème commun dans le paysage des rançongiciels d’établir de nouveaux binaires, en particulier pour sécuriser les appareils virtuels et leurs environnements de gestion », lit-on dans un rapport de la société de sécurité Trellix.

2. Le cryptojacking est en hausse

Le cryptojacking est l’un des types de logiciels malveillants Linux les plus répandus en raison du fait qu’il peut rapidement générer de l’argent.  » L’intention de ce logiciel est d’utiliser des ressources de calcul pour générer des crypto-monnaies pour un agresseur « , généralement Monero, a déclaré Tokazowski.

Une des toutes premières attaques importantes a eu lieu en 2018 lorsque le cloud public de a été victime. « Les pirates avaient en fait pénétré la console Kubernetes de Tesla, qui n’était pas sécurisée par un mot de passe », selon le cloud assurant le suivi de la société RedLock.  » Dans un pod Kubernetes, l’accès aux qualifications était exposé à l’environnement AWS de Tesla, qui contenait un seau Amazon S3 (Amazon Simple Storage Service) contenant des données délicates telles que la télémétrie. « 

Le cryptojacking est devenu plus courant , XMRig et Sysrv faisant partie des familles de cryptomineurs les plus importantes. Un rapport de SonicWall a montré que le nombre d’efforts a augmenté de 19 % en 2021 par rapport à 2020.

 » Pour les clients du gouvernement et des soins de santé, cette augmentation est restée à trois chiffres, le cryptojacking augmentant de 709 % et 218 % respectivement », selon le dossier. Le secteur de la sécurité comptait environ 338 efforts de cryptojacking par réseau grand public, généralement.

Pour cibler leurs victimes, de nombreux gangs utilisent des listes de mots de passe par défaut, des exploits de célébration ou des exploits qui ciblent délibérément des systèmes mal configurés avec une sécurité faible, selon à Tokazowski. « Certaines de ces erreurs de configuration peuvent consister en des attaques par traversée de sites de répertoires, des attaques par inclusion de fichiers distants ou dépendre de processus mal configurés avec des installations par défaut », a-t-il déclaré.

3. 3 familles de logiciels malveillants – XorDDoS, Mirai et Mozi – ciblent l’IoT

L’IoT fonctionne sous Linux, à quelques exceptions près, et la simplicité des appareils peut aider à les transformer en victimes potentielles. CrowdStrike a signalé que le volume de logiciels malveillants ciblant les gadgets fonctionnant sous Linux a augmenté de 35 % en 2021 par rapport à 2020.

Trois familles de logiciels malveillants représentent 22 % du total : XorDDoS, Mirai et Mozi. Ils suivent exactement le même schéma d’infection des appareils, les générant dans un botnet, puis les utilisent pour mener des attaques DDoS.

Mirai, un cheval de Troie Linux qui utilise Telnet et Secure Shell (SSH) brute-forcing attaques pour compromettre les gadgets, est considéré comme l’ancêtre typique de nombreuses pressions de logiciels malveillants Linux DDoS. Lorsque son code source a fini par être rendu public en 2016, de nombreuses versions ont émergé. De plus, les auteurs de logiciels malveillants en ont tiré des leçons et ont implémenté les fonctionnalités de Mirai dans leurs propres chevaux de Troie.

CrowdStrike a découvert que le nombre de versions de logiciels malveillants Mirai assemblées pour les systèmes Linux alimentés par Intel a plus que doublé au cours du premier trimestre de l’année. 2022 par rapport au premier trimestre 2021, avec la plus forte augmentation des variantes ciblant les processeurs x86 32 bits.  » Les variantes de Mirai évoluent constamment pour tirer parti des vulnérabilités non corrigées afin d’étendre leur surface d’attaque « , selon le rapport.

Un autre cheval de Troie Linux en plein essor est XorDDoS. Microsoft a découvert que ce risque avait augmenté de 254 % au cours des six derniers mois. XorDDoS utilise des variantes de lui-même compilées pour les architectures Linux ARM, x86 et x64 pour augmenter la probabilité d’une infection efficace.

Comme Mirai, il utilise des attaques par force brute pour accéder à ses cibles et, une fois à l’intérieur, recherche les serveurs Docker avec le port 2375 disponible pour acquérir un accès root à distance à l’hôte sans avoir besoin d’un mot de passe.

Mozi compromet ses cibles d’une manière quelque peu comparable, mais pour empêcher d’autres logiciels malveillants de prendre sa position, il bloque ensuite les ports SSH et Telnet. Il développe un réseau de botnet peer-to-peer et utilise le système de table de hachage distribué (DHT) pour cacher sa communication avec le serveur de commande et de contrôle derrière un véritable trafic DHT.

L’activité la plus efficace les botnets restent constants dans le temps, selon l’International Threat Landscape Report de Fortinet. La société de sécurité a constaté que les auteurs de logiciels malveillants déploient beaucoup d’efforts pour garantir que l’infection est cohérente dans le temps, ce qui signifie que le redémarrage du gadget ne doit pas supprimer le contrôle que le pirate a sur la cible contaminée.

4. Les attaques parrainées par l’État ciblent les environnements Linux

Les scientifiques de la sécurité qui surveillent les groupes d’États-nations ont découvert qu’ils ciblent de plus en plus les environnements Linux. « De nombreux logiciels malveillants Linux ont été déployés avec le début de la guerre russo-ukrainienne, consistant en des essuie-glaces », a déclaré Ryan Robinson, scientifique en sécurité chez Intezer. Selon Cyfirma, le groupe russe APT Sandworm aurait agressé les systèmes Linux d’entreprises britanniques et américaines quelques jours avant le début de l’attaque.

ESET faisait partie des entreprises qui ont suivi attentivement le différend et ses ramifications en matière de cybersécurité.

« Il y a un mois, nous nous sommes penchés sur Industroyer2, une attaque contre un fournisseur d’énergie ukrainien », a déclaré Marc-Étienne Léveillé, chercheur principal sur les logiciels malveillants chez ESET.  » Cette attaque incluait des vers Linux et Solaris qui se propageaient en utilisant SSH et peut-être des informations d’identification volées. Il s’agissait d’une attaque extrêmement ciblée qui avait clairement pour objectif de détruire les données des bases de données et des systèmes de fichiers. « 

Le nettoyeur Linux  » endommage l’intégralité du contenu des disques connectés au système en utilisant shred si disponible ou simplement dd (avec if=/dev/random) sinon », selon l’article d’ESET.  » Si plusieurs disques sont connectés, l’élimination des informations est effectuée en parallèle pour accélérer le processus.  » En collaboration avec le CERT-UA, ESET a associé le malware au groupe Sandstorm APT, qui avait utilisé Industroyer en 2016 pour couper l’électricité en Ukraine.

En ce qui concerne les autres acteurs de l’État-nation, Microsoft et Mandiant ont constaté que plusieurs groupes soutenus par la Chine, l’Iran, la Corée du Nord et d’autres avaient exploité le défaut notoire Log4j sur les systèmes Windows et Linux pour accéder aux réseaux qu’ils ciblent .

5. Les attaques sans fichier sont difficiles à trouver

Les chercheurs en sécurité des Alien Labs d’AT&T ont constaté que de nombreux acteurs, dont TeamTNT, ont en fait commencé à utiliser Ezuri, un outil open source écrit en Golang. Les attaquants utilisent Ezuri pour chiffrer le code nuisible. Lors du déchiffrement, la charge utile est exécutée directement depuis la mémoire sans laisser de traces sur le disque, ce qui rend ces attaques difficiles à détecter par les logiciels antivirus.

Le principal groupe lié à cette stratégie, TeamTNT, cible Docker des systèmes qui ne sont pas configurés de manière appropriée, dans le but d’installer des robots DDoS et des cryptomineurs.

6. Les logiciels malveillants Linux ciblent les machines Windows

Les logiciels malveillants Linux peuvent également exploiter les machines Windows via le sous-système Windows pour Linux (WSL), une fonction de Windows qui permet aux binaires Linux de s’exécuter de manière native sur ce système d’exploitation. WSL doit être installé manuellement ou en rejoignant le programme Windows Expert, mais les agresseurs peuvent l’installer s’ils ont un accès élevé à.

La société de sécurité cloud Qualys a examiné la faisabilité d’effectuer des attaques ou d’obtenir la persistance sur un fabricant Windows en utilisant WSL. Il a évalué 2 méthodes jusqu’à présent, l’exécution par procuration et l’installation d’énergies, et a conclu que les deux sont extrêmement pratiques.

Selon les professionnels de la sécurité de l’entreprise, les organisations qui souhaitent se protéger contre ce type d’attaque peuvent désactiver la virtualisation et la possibilité de configurer WSL. Cela aide également à auditer les procédures en cours d’exécution de manière continue.

Les assaillants ont également porté les performances des outils Windows vers Linux, dans l’intention de cibler davantage de plates-formes. Un exemple est Vermilion Strike, qui est basé sur un outil de dépistage de pénétration populaire pour Windows, CobaltStrike, mais peut être utilisé pour cibler à la fois Windows et Linux.

Vermilion Strike offre aux assaillants un accès à distance à des capacités, consistant en l’ajustement de fichiers et l’exécution de commandes shell. L’outil a été utilisé contre les entreprises de télécommunications, les entreprises gouvernementales et les institutions financières, et l’intention principale des agresseurs était de faire de l’espionnage.

Les chercheurs d’Intezer déclarent dans leur rapport que  » Vermilion Strike n’est peut-être pas le dernier Exécution Linux  » de CobaltStrike Beacon.

Protéger contre les logiciels malveillants qui ciblent les environnements Linux

La sécurité est la plus faible lorsque les administrateurs système et les concepteurs font la course contre le temps et les délais. Les développeurs, par exemple, peuvent s’appuyer aveuglément sur le code fourni par la communauté ; ils copient/collent du code depuis Stack Overflow, exécutent un logiciel rapidement après avoir cloné un référentiel GitHub, ou déploient une application depuis Docker Center directement dans leur environnement de production.

Les assaillants opportunistes bénéficient de cette « économie d’attention ». Ils ajouter des cryptomineurs aux conteneurs Docker ou créer des bundles open-source avec des noms pratiquement identiques à des bibliothèques largement d’occasion, en bénéficiant de la faute d’orthographe occasionnelle de la part des concepteurs.

 » L’exploitation des déploiements ouverts Docker et Kubernetes est assez fascinant : les individus négligents laissent leurs déploiements de conteneurs ouverts sur le monde, et ces installations sont facilement prises en charge et utilisées comme tête de pont pour d’autres attaques ou pour d’autres activités de monétisation, telles que l’extraction de Monero « , a déclaré Vigna de VMware.

 » Je suis un fervent défenseur de l’évangélisation des logiciels et de la culture open source, mais s’il y a une chose qui me fait vraiment peur, c’est la fragilité de la chaîne de confiance inv dans les référentiels d’applications logicielles publiques « , a déclaré Ryan Cribelar, ingénieur de recherche sur les vulnérabilités chez Nucleus Security.

 » Ce n’est évidemment pas un problème spécifique à Linux, mais une bibliothèque malveillante rôdant dans les référentiels PyPi ou NPM, par exemple, causera probablement le plus de perte de sommeil à l’administrateur Linux et aux groupes de sécurité. « 

Pour les serveurs Linux, les erreurs de configuration sont également un énorme problème, et cela peut se produire à de nombreux points le long de ses installations.  » En règle générale, les paramètres du pare-feu ou du groupe de sécurité sont mal configurés pour permettre l’accès à Internet plus large, permettant ainsi un accès externe aux applications publiées sur les serveurs Linux « , a déclaré Robinson d’Intezer.

Les applications sont souvent mal configurées pour permettre un accès sans authentification ou en utilisant les informations d’identification par défaut.

« En fonction de l’application mal configurée, les attaquants auront la possibilité de voler des informations ou d’exécuter du code nuisible sur le serveur Linux », a ajouté Robinson.  » Les exemples courants incluent des démons Docker mal configurés, permettant aux ennemis d’exécuter leurs propres conteneurs ou des applications mal configurées qui divulguent des mots de passe et des informations client, comme Apache Airflow.  » Robinson a ajouté que la configuration par défaut n’est souvent pas liée à la configuration de protection.

Joel Spurlock, directeur principal de l’étude de recherche sur les logiciels malveillants chez CrowdStrike, voit un autre problème : les correctifs. Il affirme que les organisations sont  » soit incapables, soit réticentes à maintenir les appareils à jour « . Les correctifs doivent être apportés régulièrement, et des mots à la mode comme EDR et zéro confiance doivent également figurer au menu.

Les logiciels malveillants ciblant les environnements Linux se développe dans une vaste zone de jeu d’appareils et de serveurs clients, d’environnements virtualisés et de systèmes d’exécution spécialisés, c’est pourquoi les mesures de sécurité nécessaires pour protéger tout cela nécessitent une concentration et une préparation minutieuse.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici