Linux作為最常見的云操作系統(tǒng)，是數(shù)字基礎(chǔ)架構(gòu)的核心部分，也正在迅速成為攻擊者進(jìn)入多云環(huán)境的入場(chǎng)券。目前的惡意軟件應(yīng)對(duì)策略主要是解決基于Windows系統(tǒng)的威脅，這使得許多公有云和私有云部署很容易受到針對(duì)基于Linux工作負(fù)載的攻擊。

　　近日，全球領(lǐng)先的企業(yè)軟件創(chuàng)新者VMware(NYSE: VMW)發(fā)布威脅報(bào)告《揭露Linux多云環(huán)境中的惡意軟件》(1) ，其中詳細(xì)說明了網(wǎng)絡(luò)犯罪分子如何使用惡意軟件攻擊基于Linux操作系統(tǒng)。報(bào)告的主要發(fā)現(xiàn)包括：

　　? 勒索軟件正集中攻擊Linux虛機(jī)鏡像，這些虛機(jī)鏡像被用于在虛擬環(huán)境中生成工作負(fù)載

　　? 89%的加密劫持(cryptojacking)攻擊使用XMRig相關(guān)的庫

　　? 超半數(shù)的Cobalt Strike用戶可能是網(wǎng)絡(luò)犯罪分子，或是非法使用Cobalt Strike。

　　VMware威脅情報(bào)高級(jí)主管Giovanni Vigna表示：“網(wǎng)絡(luò)犯罪分子正大幅擴(kuò)大攻擊范圍，他們將針對(duì)基于Linux操作系統(tǒng)的惡意軟件添加到工具包中，試圖以最小的成本發(fā)揮最大影響。網(wǎng)絡(luò)犯罪分子并非從感染端點(diǎn)入手，然后逐步轉(zhuǎn)向更高價(jià)值目標(biāo)，而是入侵那些能給他帶來最大收益和訪問權(quán)限的單個(gè)服務(wù)器。攻擊者將公有云和私有云視為高價(jià)值目標(biāo)，使得他們可以訪問關(guān)鍵基礎(chǔ)架構(gòu)服務(wù)和機(jī)密數(shù)據(jù)。不幸的是，目前防御惡意軟件攻擊的策略仍主要集中在解決基于Windows的威脅上，這使得許多公有云和私有云部署容易受到基于Linux操作系統(tǒng)的攻擊?！?/p>

　　在急劇變化的威脅環(huán)境中，隨著針對(duì)基于 Linux操作系統(tǒng)的惡意軟件數(shù)量和復(fù)雜性不斷增加，組織機(jī)構(gòu)必須更加重視威脅檢測(cè)。在這份報(bào)告中，VMware 威脅分析部門 (TAU) 分析了多云環(huán)境中基于 Linux操作系統(tǒng)的威脅：勒索軟件、加密礦工和遠(yuǎn)程訪問工具。

　　勒索軟件以云為目標(biāo)，試圖將損害最大化

　　作為企業(yè)機(jī)構(gòu)數(shù)據(jù)泄露的主要原因之一，云環(huán)境中的勒索軟件攻擊能夠帶來災(zāi)難性后果(2)。對(duì)于云部署的勒索軟件攻擊是有針對(duì)性的，且通常與數(shù)據(jù)泄露相結(jié)合，實(shí)施雙重勒索，以提高成功幾率。新的進(jìn)展表明，勒索軟件正集中攻擊Linux虛機(jī)鏡像，這些虛機(jī)鏡像被用于在虛擬環(huán)境中生成工作負(fù)載。攻擊者現(xiàn)在正在尋找云環(huán)境中最有價(jià)值的資產(chǎn)，以對(duì)目標(biāo)造成最大程度的損害。例如Defray777勒索軟件系列，其加密了ESXi服務(wù)器上的虛機(jī)鏡像。以及DarkSide勒索軟件系列，它破壞了Colonial Pipeline的網(wǎng)絡(luò)并導(dǎo)致了美國(guó)全國(guó)范圍內(nèi)的汽油短缺。

　　加密劫持攻擊使用XMRig挖掘Monero

　　追求快速貨幣收益的網(wǎng)絡(luò)犯罪分子通常緊盯加密貨幣，通過在惡意軟件中加入竊取錢包的功能，或是利用被盜的CPU周期獲利，從而在稱為加密劫持的攻擊中成功挖掘加密貨幣。大多數(shù)加密劫持攻擊都集中在挖掘Monero貨幣(或XMR)，VMware威脅分析部門發(fā)現(xiàn)89%的加密礦工都在使用XMRig相關(guān)的庫。出于這個(gè)原因，當(dāng)Linux二進(jìn)制文件中的XMRig特定庫和模塊被識(shí)別時(shí)，它很可能是惡意加密行為的證據(jù)。VMware威脅分析部門還發(fā)現(xiàn)，防御規(guī)避是加密礦工最常用的技術(shù)。不幸的是，由于加密劫持攻擊不會(huì)像勒索軟件那樣完全破壞所在的云環(huán)境，因此它們更難被檢測(cè)到。

　　Cobalt Strike是攻擊者首選的遠(yuǎn)程訪問工具

　　為了獲得控制權(quán)并在環(huán)境中持續(xù)存在，攻擊者希望在受感染的系統(tǒng)上安裝植入程序，從而使他們能夠部分控制機(jī)器。惡意軟件、webshell和遠(yuǎn)程訪問工具(RAT)都可能是攻擊者在受感染系統(tǒng)中使用的植入程序，以實(shí)現(xiàn)遠(yuǎn)程訪問。攻擊者使用的主要植入程序之一是Cobalt Strike以及它最近的基于Linux的Vermilion Strike變體。由于Cobalt Strike已經(jīng)是Windows上的普遍威脅，它現(xiàn)在擴(kuò)展到基于 Linux的操作系統(tǒng)，這表明威脅者希望利用現(xiàn)成的工具來針對(duì)盡可能多的平臺(tái)。

　　2020 年 2 月至 2021 年 11 月期間，VMware威脅分析部門在互聯(lián)網(wǎng)上發(fā)現(xiàn)了14,000多個(gè)活躍的 Cobalt Strike Team服務(wù)器。破解和泄露的Cobalt Strike用戶信息總百分比為 56%，這意味著超半數(shù)的Cobalt Strike用戶可能是網(wǎng)絡(luò)犯罪分子，或至少是在非法使用Cobalt Strike。Cobalt Strike和Vermilion Strike等 RAT 已成為網(wǎng)絡(luò)犯罪分子的商品工具，這一事實(shí)對(duì)企業(yè)構(gòu)成了重大威脅。

　　VMware 威脅研究經(jīng)理Brian Baskin表示：“自從我們實(shí)施分析以來，觀察到越老越多的勒索軟件系列被針對(duì)基于 Linux系統(tǒng)的惡意軟件所吸引，并有可能利用 Log4j 漏洞進(jìn)行額外攻擊。本報(bào)告中的發(fā)現(xiàn)可用于更好地了解這種惡意軟件的性質(zhì)，并減輕勒索軟件、加密貨幣挖礦和RAT對(duì)多云環(huán)境日益增長(zhǎng)的威脅。隨著針對(duì)云的攻擊不斷發(fā)展，組織應(yīng)采