Linux kötü amaçlı yazılım kampanyalarının sofistike bir dalgası, artan sıklık ve karmaşıklığa sahip bulut ortamlarını hedefliyor ve modern altyapı güvenliğine önemli tehditler oluşturuyor.
Saldırganlar, bulut yerli ortamlar için geleneksel Linux kötü amaçlı yazılımları uyarladıkça, bulut sömürüsü için özel olarak tasarlanmış özel yürütülebilir ve bağlantılı format (ELF) ikili dosyalarının ortaya çıkması tehdit aktör yeteneklerinde ilgili bir evrimi temsil eder.
Son Tehdit İstihbaratı, bulut tabanlı güvenlik uyarılarının 2024 yılında ortalama% 388 oranında arttığını, kuruluşların% 45’inin gelişmiş kalıcı tehdit (APT) saldırılarının arttığını bildirmektedir.
.png
)
Bu dramatik yükseliş, hesaplama örneklerinin tahmini% 70 ila% 90’ının Linux tabanlı sistemlerde çalıştığı ve kötü niyetli aktörler için geniş bir saldırı yüzeyi oluşturduğu bulut altyapısının yaygın olarak benimsenmesi ile çakışıyor.
Palo Alto Networks analistleri, bulut ortamlarını aktif olarak hedefleyen beş ana kötü amaçlı yazılım ailesini tanımladı: Noodlerat, Winnti, Sshdinjector, Pigmy Keçi ve Asitpour.
Bu sofistike araçlar, her bir aile geçen yıl içinde en az iki önemli kod güncellemesi alır ve aktif dolaşımda 20’den fazla benzersiz örnek üretirken, sürekli geliştirme ve dağıtım gösterir.
Kötü amaçlı yazılım suşları, arka fırın, uzaktan erişim truva atları, veri silecekleri ve güvenlik açığı sömürüsü ikili dosyaları da dahil olmak üzere, özellikle bulut altyapısı uzlaşması için tasarlanmış çeşitli saldırı yeteneklerini kapsar.
Bu kampanyaların arkasındaki tehdit aktörleri, buluta özgü güvenlik açıklarından ve altyapı bileşenlerinden yararlanmak için mevcut Linux hedefleme araçlarını yeniden çalıştırarak dikkate değer bir uyum gösterdi.
Operasyonları, Tayland, Hindistan, Japonya, Malezya ve Tayvan da dahil olmak üzere Asya-Pasifik bölgesindeki varlıkları etkileyen belgelenmiş saldırılarla birlikte, devlet kurumlarını, telekomünikasyon organizasyonlarını ve kritik altyapı sağlayıcıları hedefliyor.
Dinamik bağlayıcı manipülasyon yoluyla gelişmiş kalıcılık
Bu gelişen tehditlerin en ilgili yönü, sofistike kalıcılık mekanizmalarında, özellikle de kötüye kullanılması LD_PRELOAD Dinamik bağlayıcı kaçırma için ortam değişkeni.
Bu teknik, kötü amaçlı yazılımların sistem ikili dosyalarını değiştirmeden meşru sistem işlemlerine kötü amaçlı kod enjekte etmesini sağlar ve neredeyse görünmez arka kapı erişimi oluşturur.
. LD_PRELOAD Mekanizma, saldırganların standart sistem kitaplıklarından önce yüklenen özel paylaşılan kütüphaneleri belirtmelerine olanak tanır.
Winnti ve SSHDInector gibi kötü amaçlı yazılımlar bu işlevi aşağıdakilere benzer kod aracılığıyla kullanır.
export LD_PRELOAD="/path/to/malicious/libxselinux.so"Bu yaklaşım, kötü amaçlı yazılımın kritik Linux hizmetlerine, özellikle SSH Daemon’a (SSHD) bağlanmasını, iletişimi engellemesini ve kalıcı erişimi sürdürmesini sağlar.
Cugmy keçi, bu tekniği SSH daemon’a enjekte ederek ve SSH trafiğine gömülü özel hazırlanmış ICMP paketleri veya sihirli baytlar aracılığıyla komut kanalları oluşturarak örnekler.
.webp)
Makine öğrenme algılama sistemlerinin bu tehditlere karşı etkili olduğu kanıtlanmıştır, Palo Alto Networks’ün korteks bulutu, beş kötü amaçlı yazılım ailesinde kötü niyetli elf ikili dosyalarının tanımlanmasında% 92 doğruluk elde etmektedir.
.webp)
Korteks makinesi öğrenme uyarısı sistemi, daha önce bilinmeyen ELF ikili dosyalarını başarıyla işaretlerken, bu, test edilen örneklerin% 61’inin 0.85 kötü amaçlı eşiğin üzerinde puan aldığını göstermektedir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği