Dünya çapında çok çeşitli kuruluşlarda, konteyner benimseme, son birkaç yılda ana akım haline gelme belirtileri göstermiştir.
Kubernetes gibi kapsayıcı düzenleme projeleri ve bulutta bulunan diğer araçlar son yıllarda geliştirildiğinden, kuruluşların çalışma biçiminde bir dönüşüm dalgası meydana geldi.
Monolitik mimariler yerine mikro hizmet tabanlı mimarilerin uygulanması, dağıtılmış sistemlerin geliştirilmesinde giderek daha popüler hale gelen bir özelliktir.
Ancak bu değişikliklerin bir sonucu olarak, bir sorun olan saldırı yüzeyinde de bir artış olmuştur. Özellikle, güvenlik tehditlerine ve güvenlik ihlallerine yol açan dağıtım sırasında ortaya çıkan güvenlik yanlış yapılandırmaları ve güvenlik açıkları yoluyla.
Bu nedenle, bilgisayar korsanları yerel Linux araçlarını kullanarak Linux ortamlarına saldırılar başlatıyor.
Meşru Araçları Kullanan Saldırılar
Tipik olarak, Linux tabanlı bir sisteme saldırırken bir saldırgan tarafından takip edilen standart bir istismar zinciri vardır. Bir ortama erişim sağlamanın ilk adımı, bir saldırganın bir güvenlik açığından yararlanmasıdır.
Trend Micro raporuna göre, bir saldırgan, güvenliği ihlal edilmiş sistemin diğer alanlarına erişmek için farklı yollar izleyebilir: –
- Kuruluşun mevcut ortamı, bağlamı numaralandırılarak tanımlanır.
- Hassas bilgiler içeren bir ortamdan veri hırsızlığı.
- Uygulamayı devre dışı bırakmak ve hizmet reddi saldırısına neden olmak.
- Madencileri indirmek ve kripto para madenciliği yapmak.
- Diğer tekniklerle denemeler yapmak, örneğin: –
- Ayrıcalık Yükseltme
- Yanal Hareket
- kalıcılık
- Kimlik Bilgileri Erişimi
Tehdit aktörleri, bu amacı gerçekleştirmek için Linux dağıtımlarıyla birlikte gelen çeşitli araçları kullanır. Aşağıda kötüye kullanılan araçlardan bahsettik: –
- kıvrılmak
- wget
- chmod
- sohbet
- ssh
- base64
- chroot
- crontab
- ps
- pkill
Base64 biçiminde kodlanmış dizelerin kodunun çözülmesi, bir Linux yardımcı programı olan base64 aracıyla yapılır. Algılamayı önlemek için saldırganlar, yüklerini ve komutlarını gizlemek için genellikle base64 kodlamasını kullanır.
Kullanıcıların bash kabuk komutları, giriş dizinlerinde bulunan .bash geçmiş dosyalarına kaydedilir. Saldırgan, kötü amaçlı kod yürütmek için Visual One workbench, chroot ve base64 yardımcı programlarını kullanmayı seçti.
chroot aracı, kök dizini sağlanan dizine (bu durumda /host) değiştirmek için kullanılır, burada temeldeki ana bilgisayarın dosya sistemi kapsayıcıya bağlanır.
Öneriler
Saldırganların bir işletim sistemine özgü araçları ve yardımcı programları kullandığına şüphe yoktur, bu nedenle savunucular, saldırganların önünde kalabilmek için saldırının farklı aşamalarında hangi kontrollere sahip olmak istediklerini düşünmek zorunda kalacaklardır.
Aşağıda, bu tür tehditleri azaltmak için tüm önerilerden bahsettik: –
- Distroless görseller kullandığınızdan emin olun.
- Cloud One İş Yükü Güvenliği – Uygulama Kontrolü.
- Açık bir izin verilinceye kadar tanınmayan yazılımın engellendiğinden emin olun.
- Açıkça engellenene kadar tanınmayan yazılımların sisteminizde çalışmasına izin verin.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap