Carding Forum
Professional
- Messages
- 2,788
- Reaction score
- 1,187
- Points
- 113
Среди рядовых пользователей и даже ИТ-специалистов распространено мнение о повышенной безопасности операционных систем на базе Linux по сравнению с «дырявым Windows» и «популярной macOS». Однако, как показало наше исследование, открытость исходного кода не освобождает Linux от ошибок и уязвимостей, несущих риски безопасности. В этой статье мы обсудим, почему Linux стал привлекательной целью для киберпреступников, а также рассмотрим основные угрозы, связанные с этой операционной системой.
Linux, который начинался как личный проект около 50 лет назад, сейчас является одной из самых мощных операционных систем, доминирующей на облачных платформах и серверах по всему миру. Фактически, использование Linux в настоящее время превышает использование Windows в Azure, собственной облачной платформе Microsoft. Однако, как и любое программное обеспечение, Linux не застрахован от угроз и рисков безопасности. Поскольку все переходят в облако и, следовательно, на Linux, неудивительно, что киберпреступники переключат свое внимание и ресурсы на эти среды, включая их слабые стороны, чтобы получить нечестное преимущество. Все различные типы вредоносных программ, такие как программы-вымогатели, майнеры криптовалют, руткиты пользовательского и режима ядра, черви, трояны, бэкдоры, трояны удаленного доступа (RAT), также существуют на платформе Linux. Мотивация таких атак остается прежней: финансовая выгода, шпионаж, саботаж, хактивизм или просто желание доказать, что системы могут быть скомпрометированы.
Программы-вымогатели не нуждаются в представлении. Поскольку киберпреступникам платят миллионы долларов, это, несомненно, самая успешная категория вредоносных программ в последнее время. Учитывая распространенность Linux, злоумышленники, использующие программы-вымогатели, считают операционную систему очень прибыльной целью. Скрипты оболочки используются из-за их простоты. С их помощью программисты Unix могут легко запускать несколько команд Linux, встроенных в один файл. Скрипты оболочки интерпретируются оболочкой или интерпретатором командной строки Linux. Киберпреступники также злоупотребляют этим инструментом, который можно найти на всех машинах UNIX. Легче развернуть вредоносный скрипт, чем использовать скомпилированное вредоносное ПО. Популярность использования вредоносных скриптов для атак на Linux объясняется несколькими причинами: Их легко загрузить в виде текстовых файлов. Они меньше по размеру. Их сложнее обнаружить. Их можно создавать «на лету». После того, как эти скрипты попадают на целевой хост, они запускаются в безопасном месте, где их нельзя пометить, например, в папке /tmp. Обычно эти скрипты сами по себе не выполняют никаких вредоносных действий, хотя они подключаются к командному серверу (C&C) для загрузки вредоносного ПО.
Руткиты — это постоянные угрозы, которые трудно обнаружить или наблюдать. Основная цель руткита — с одной стороны, сделать себя и другие вредоносные угрозы незаметными для администраторов, аналитиков и пользователей, а с другой стороны — не быть обнаруженными инструментами сканирования, криминалистическим анализом и системными инструментами. Руткиты также могут открывать бэкдоры или использовать сервер C&C, чтобы предоставить киберпреступнику способы контролировать и шпионить за уязвимой машиной.
Приведем также пример: выявлено 15 различных уязвимостей, которые либо активно эксплуатируются в реальных кибератаках, либо уже имеют рабочие коды эксплойтов (PoC). Вот эти уязвимости: CVE-2017-5638 (CVSS - 10.0) - удаленное выполнение кода в Apache Struts 2. CVE-2017-9805 (CVSS - 8.1) - удаленное выполнение кода в плагине REST XStreamApache Struts 2. CVE-2018-7600 (CVSS - 9.8) - удаленное выполнение кода в ядре Drupal. CVE-2020-14750 (CVSS - 9.8) - удаленное выполнение кода в Oracle WebLogic Server. CVE-2020-25213 (CVSS - 10.0) - удаленное выполнение кода в плагине WordPress File Manager (wp-file-manager). CVE-2020-17496 (CVSS - 9.8) - удаленное выполнение кода в vBulletin 'subwidgetConfig'. CVE-2020-11651 (CVSS - 9.8) - уязвимость в процессе аутентификации SaltStack Salt. CVE-2017-12611 (CVSS - 9.8) - удаленное выполнение кода в Apache Struts OGNL. CVE-2017-7657 (CVSS - 9.8) - целочисленное переполнение в Eclipse Jetty. CVE-2021-29441 (CVSS - 9.8) - обход аутентификации Alibaba Nacos AuthFilter. CVE-2020-14179 (CVSS - 5.3) - раскрытие информации в Atlassian Jira. CVE-2013-4547 (CVSS - 8.0) - обход ограничения доступа в Nginx. CVE-2019-0230 (CVSS - 9.8) - удаленное выполнение кода в Apache Struts 2. CVE-2018-11776 (CVSS - 8.1) - удаленное выполнение кода в Apache Struts OGNL. CVE-2020-7961 (CVSS - 9.8) - десериализация в Liferay Portal.
Широкое распространение Linux и его использование для обработки важной информации делают его очень выгодной целью для киберпреступников. Свидетельством этого является растущий список семейств программ-вымогателей, нацеленных на Linux, и огромное количество уязвимостей, используемых киберпреступниками для компрометации среды Linux. Эти угрозы на основе Linux подтверждают необходимость усиления безопасности, особенно для предприятий и организаций, использующих операционную систему на критически важных бизнес-платформах.
Изучив этот материал, спросите себя: вы по-прежнему чувствуете себя в безопасности, работая в сети? Не полагайтесь на советы по безопасности в Интернете - обратитесь за помощью к экспертам, и они расскажут вам, как правильно скрыть свое присутствие в сети. Помните: безопасность требует оплаты, и ее отсутствие будет оплачено!
Linux, который начинался как личный проект около 50 лет назад, сейчас является одной из самых мощных операционных систем, доминирующей на облачных платформах и серверах по всему миру. Фактически, использование Linux в настоящее время превышает использование Windows в Azure, собственной облачной платформе Microsoft. Однако, как и любое программное обеспечение, Linux не застрахован от угроз и рисков безопасности. Поскольку все переходят в облако и, следовательно, на Linux, неудивительно, что киберпреступники переключат свое внимание и ресурсы на эти среды, включая их слабые стороны, чтобы получить нечестное преимущество. Все различные типы вредоносных программ, такие как программы-вымогатели, майнеры криптовалют, руткиты пользовательского и режима ядра, черви, трояны, бэкдоры, трояны удаленного доступа (RAT), также существуют на платформе Linux. Мотивация таких атак остается прежней: финансовая выгода, шпионаж, саботаж, хактивизм или просто желание доказать, что системы могут быть скомпрометированы.
Программы-вымогатели не нуждаются в представлении. Поскольку киберпреступникам платят миллионы долларов, это, несомненно, самая успешная категория вредоносных программ в последнее время. Учитывая распространенность Linux, злоумышленники, использующие программы-вымогатели, считают операционную систему очень прибыльной целью. Скрипты оболочки используются из-за их простоты. С их помощью программисты Unix могут легко запускать несколько команд Linux, встроенных в один файл. Скрипты оболочки интерпретируются оболочкой или интерпретатором командной строки Linux. Киберпреступники также злоупотребляют этим инструментом, который можно найти на всех машинах UNIX. Легче развернуть вредоносный скрипт, чем использовать скомпилированное вредоносное ПО. Популярность использования вредоносных скриптов для атак на Linux объясняется несколькими причинами: Их легко загрузить в виде текстовых файлов. Они меньше по размеру. Их сложнее обнаружить. Их можно создавать «на лету». После того, как эти скрипты попадают на целевой хост, они запускаются в безопасном месте, где их нельзя пометить, например, в папке /tmp. Обычно эти скрипты сами по себе не выполняют никаких вредоносных действий, хотя они подключаются к командному серверу (C&C) для загрузки вредоносного ПО.
Руткиты — это постоянные угрозы, которые трудно обнаружить или наблюдать. Основная цель руткита — с одной стороны, сделать себя и другие вредоносные угрозы незаметными для администраторов, аналитиков и пользователей, а с другой стороны — не быть обнаруженными инструментами сканирования, криминалистическим анализом и системными инструментами. Руткиты также могут открывать бэкдоры или использовать сервер C&C, чтобы предоставить киберпреступнику способы контролировать и шпионить за уязвимой машиной.
- Умбреон:
- Дроворуб:
- Диаморфин:
Приведем также пример: выявлено 15 различных уязвимостей, которые либо активно эксплуатируются в реальных кибератаках, либо уже имеют рабочие коды эксплойтов (PoC). Вот эти уязвимости: CVE-2017-5638 (CVSS - 10.0) - удаленное выполнение кода в Apache Struts 2. CVE-2017-9805 (CVSS - 8.1) - удаленное выполнение кода в плагине REST XStreamApache Struts 2. CVE-2018-7600 (CVSS - 9.8) - удаленное выполнение кода в ядре Drupal. CVE-2020-14750 (CVSS - 9.8) - удаленное выполнение кода в Oracle WebLogic Server. CVE-2020-25213 (CVSS - 10.0) - удаленное выполнение кода в плагине WordPress File Manager (wp-file-manager). CVE-2020-17496 (CVSS - 9.8) - удаленное выполнение кода в vBulletin 'subwidgetConfig'. CVE-2020-11651 (CVSS - 9.8) - уязвимость в процессе аутентификации SaltStack Salt. CVE-2017-12611 (CVSS - 9.8) - удаленное выполнение кода в Apache Struts OGNL. CVE-2017-7657 (CVSS - 9.8) - целочисленное переполнение в Eclipse Jetty. CVE-2021-29441 (CVSS - 9.8) - обход аутентификации Alibaba Nacos AuthFilter. CVE-2020-14179 (CVSS - 5.3) - раскрытие информации в Atlassian Jira. CVE-2013-4547 (CVSS - 8.0) - обход ограничения доступа в Nginx. CVE-2019-0230 (CVSS - 9.8) - удаленное выполнение кода в Apache Struts 2. CVE-2018-11776 (CVSS - 8.1) - удаленное выполнение кода в Apache Struts OGNL. CVE-2020-7961 (CVSS - 9.8) - десериализация в Liferay Portal.
Широкое распространение Linux и его использование для обработки важной информации делают его очень выгодной целью для киберпреступников. Свидетельством этого является растущий список семейств программ-вымогателей, нацеленных на Linux, и огромное количество уязвимостей, используемых киберпреступниками для компрометации среды Linux. Эти угрозы на основе Linux подтверждают необходимость усиления безопасности, особенно для предприятий и организаций, использующих операционную систему на критически важных бизнес-платформах.
Изучив этот материал, спросите себя: вы по-прежнему чувствуете себя в безопасности, работая в сети? Не полагайтесь на советы по безопасности в Интернете - обратитесь за помощью к экспертам, и они расскажут вам, как правильно скрыть свое присутствие в сети. Помните: безопасность требует оплаты, и ее отсутствие будет оплачено!
