威胁性恶意软件，基于LINUX多云环境中的威胁

恶意软件迁移到基于 Linux 的云系统
SC Media
基于 Linux 的威胁经常被忽视。这是一个问题，因为大多数多云环境都是基于 Linux 的。VMware 最近在一份报告和 SC Media 网络广播中强调了这个问题。

这是事实：大多数云在 Linux 上运行。90% 的云由 Linux 操作系统提供支持。可预见的是，恶意软件会随之而来，这个问题肯定会出现。但大多数现代安全工具旨在解决基于 Windows 的威胁。

考虑到这一演变，VMware 的威胁分析部门最近着手研究基于 Linux 的恶意软件增长情况及其对多云环境的威胁。

本 SC Media Special Focus 对 VMware 的调查结果进行了简要概述，包括基于 Linux 的远程访问工具(RAT)、勒索软件和基于 Linux 的系统上的加密挖矿者的独特特征。还包括关于安全团队如何保护其组织免受基于 Linux 的恶意软件、勒索软件和加密挖矿者的指导。

“如果您了解基础架构和云，Linux 是最流行的操作系统，它为您每天访问的许多网站提供支持。但是，由于各种原因，恶意软件研究的重点主要集中在
Windows 威胁方面。” -Giovanni Vigna VMware 威胁情报高级总监

多云系统中日益增长的 Linux 威胁
VMware 研究人员目睹了针对云基础架构的攻击，甚至使用云管理工具关闭虚拟化系统，以便他们可以加密系统、工作负载和数据。威胁参与者，例如勒索软件团伙 HelloKitty，通过开发用于攻击的新版本软件，从 Windows 系统转移到 Linux。

“对我们而言，更仔细地研究这些类型的威胁变得很重要，”Vigna 说。“我们还看到了如何利用开放的 Docker 基础设施和开放的 Kubernetes 基础设施来部署新的 [恶意软件]组件。”

Linux 勒索软件的兴起
至少在最初，持续的勒索软件攻击与任何其他类型的妥协非常相似。目前有一些初始侵入行为，例如被利用的应用程序或成功的网络钓鱼攻击。然后，攻击者深入挖掘并在环境中获得持久的立足点。一旦建立立足点，攻击者将启动命令和控制通信线路，以便可以轻松执行勒索软件。但是，攻击者不会泄露数据，而是对数据或关键系统进行加密（本质上是拒绝访问）直到收到付款。

攻击者最近首先窃取了受害者的数据；如果不支付赎金，他们威胁要在暗网上发布这些数据。VMware 研究团队还目睹了勒索软件攻击者将目标从单个安装转移到攻击数据中心，再到针对云工作负载的转变。“这是一个令人担忧的趋势，我相信随着云变得越来越重要，在可预见的未来，这种趋势将持续下去”，Vigna 说。

勒索软件演变的部分原因是它越来越多地针对 Linux 系统。Defray777 等勒索软件会加密 VMware ESXi 服务器上的主机映像。在其研究中，VMware 分析了九个以 Linux 系统为目标的勒索软件系列。这些系列包括 Erebus、GonnaCry 和 eCh0raix。研究团队通过分析恶意软件（包括相关的 shell 和 Python 脚本和二进制文件）发现了大量的代码共享。这包括 DarkSide 和 BlackMatter 等广泛传播的恶意软件，以及与 REvil 共享代码片段的 ViceSociety。研究人员进一步确定了基于 Linux 的勒索软件的功能，并将其与 MITRE ATT&K 框架相关联。他们在 59% 的样本中发现了防御规避、混淆的文件或信息，在 18% 的样本中发现了系统信息，在近 11% 的样本中发现了去混淆/解码的文件或信息。

为了缓解 Linux 勒索软件威胁，VMware 团队建议企业遵循最佳安全操作规范，包括合适的数据备份和恢复流程、EDR 解决方案和 NDR，以发现网络上的攻击。

基于 Linux 的加密挖矿者
VMware 使用相同的方法研究了加密挖掘恶意软件。窃取计算能力的过程，通常称为“加密劫持”，是用加密挖掘软件感染系统并窃取系统 CPU 资源的过程，本质上是创建一种数字货币。这比用勒索软件感染企业，然后试图勒索这些受害者以换取现金的风险要小得多。

但这些攻击可能代价高昂，并且消耗更昂贵的电费，增加与云计算消耗相关的成本，并将导致对云和系统性能的影响。但是，由于这些攻击不像捕获系统或数据那样大胆，它们可能会在一段时间内不为人知。

加密劫持攻击对于云系统并不陌生。

当 VMware 研究人员将他们的分析应用于加密挖矿者时，他们发现几乎所有挖矿者都使用 XMRig。Vigna 说，XMRig 代码共享的数量使研究人员能够跟踪基于 Linux 的挖掘软件演变。

该团队还检查了他们收集的加密挖掘样本的行为。与勒索软件样本中观察到的行为类似，防御规避是最常用的技术。关于与防御规避相关的加密方法，加密挖矿者用于混淆数据的技术似乎更加多样化。

“此外，例如，我们注意到加密挖矿者不太关心检测他们是否处于虚拟化工作负载上，而勒索软件非常活跃地试图逃避分析”，Vigna 说。

为了检测和缓解威胁，VMware 研究人员建议认为，网络流量分析是识别加密劫持攻击的最佳方法。这将发现本地主机与外部通信。但是，由于越来越多地使用复杂的混淆技术，越来越需要依靠端点检测和响应工具以识别可疑的 CPU 使用模式。这就是为什么团队建议使用基于主机和网络的检测系统监控云环境的原因。

“第一次加密劫持攻击是针对特斯拉的公共云，这是一个 Kubernetes
部署被劫持并专门用于挖掘货币，而计算成本由特斯拉支付。这一臭名昭著的事件只是针对云环境 CPU 周期的一系列事件中的第一个。” –VMware
研究人员

远程访问木马和 Cobalt Strike
当然，攻击者通常不会为了利用它而攻击Linux 和云（以及其他）系统：他们心中有一个目标。无论该目标是勒索软件、加密劫持或其他目标。为此，攻击者必须在环境中获得控制权，例如创建临时服务器，以便他们可以针对其他网络系统并横向、更深入地进入组织。远程访问木马 (RAT) 和其他植入程序就是这种情况，它们用作使用键盘记录器监控端点、截取屏幕截图、泄露或破坏数据、植入其他恶意软件（例如勒索软件）等方式。

这就是攻击者如何获得和保持控制、持久性并进一步实现他们的目标。
VMware 威胁分析部门的技术主管 Brian Baskin ，解释道，了解对手使用哪些机制控制环境以及如何激活和引爆环境对于抵御这些威胁至关重要。
RAT 和其他植入程序所做的第一件事就是扫描网络上可访问的其他系统。
攻击者可能会扫描整个 IP 地址范围，或者由于服务器和高价值系统通常存储在该范围的低端或高端，攻击者将扫描该范围的这些区域。随着系统被识别，关于这些系统的信息（地址、主机名、活动用户帐户、操作系统和软件版本）将被收集。

为了不被发现进行这种识别的攻击者植入程序，通信保持尽可能隐蔽。他们以多种方式做到这一点。

它们可能在现有的加密隧道中运行，也可能只是在后台运行的另一个常规运行服务或应用程序。VMware 的研究表明，在基于 Linux 的多云环境中，植入活动作为常规 cron 任务执行，它们是任务调度程序。这些程序允许 Linux、macOS 和 Unix 环境安排进程以定期运行。这些程序可以包括定期重新启动植入程序，从而帮助增加植入程序的持久性。

这种持久性用于在环境中横向移动。在横向移动过程中，攻击者会发现其他易受攻击的系统并安装更多植入程序，以增加它们的耐受力以及在环境中更深移动的能力。攻击者还将寻求大量有价值的数据以及具有高访问权限级别的系统。这可能会持续数周和数月。

并非所有植入程序都被设计为恶意工具。有时就像 Cobalt Strike 一样，安全团队使用这些程序帮助更好地保护他们的环境。

“我们必须关注有效载荷如何实际实施。他们将使用那台受感染的设备跳转到下一台设备。他们将枚举环境中的所有资源，例如操作系统和漏洞，然后使用他们可以利用的任何漏洞进行移动。” –Brian Baskin 技术负责人，VMware 威胁分析部

基于 Linux 的攻击管理工具
攻击管理工具是双重用途的攻击工具，因为它们对攻击者和防御者都有用。这些工具提供了发现网络资产、获得未经授权的访问以及进行命令和控制通信的能力。Cobalt Strike 是此类工具之一。从本质上讲，Cobalt Strike 使企业安全团队能够模拟对其系统的实际攻击。Cobalt Strike 使用一个名称为 Beacon 的植入程序，它可以回传并收集要执行的任务。但是，攻击者也发现 Cobalt Strike 丰富的工具集和功能很有价值。

攻击者发现 Cobalt Strike 非常有价值，因此他们采用其的植入程序（Beacon）并将其重新实现为基于 Linux 的 VermilionStrike。Vermilion Strike 是一种基于 Linux 的 RAT，它使用 Cobalt Strike 后端、相同的协议、结构、数据格式，并将其与实际的 Cobalt Strike C2 服务器进行通信。这就是为什么攻击者可以使用 Cobalt Strike 并将其部署在他们的环境中、对其进行托管，并使用 Vermilion Strike 信标将他们的目标系统扩展到 Linux 系统。
正如 VMware 的报告中所指出的，Vermilion Strike 似乎是 Cobalt Strike 协议的第一次重新实际实现。

企业检测 RAT 的能力对于成功保护其网络至关重要。Vermilion Strike 等 RAT 通常在攻击生命周期的早期使用，因为它们会将更多恶意软件添加到受害者环境中。VMware 研究人员已经确定，NDR 软件和 EDR 解决方案的健康组合可以帮助在这些攻击开始之前阻止攻击。