云环境中的Linux恶意软件威胁

重点摘要

在云计算环境中，Linux操作系统支撑着90%的基础设施，恶意软件也随之而来。然而，大多数现代安全工具则是针对Windows威胁设计的，这就形成了保护上的巨大缺口，并且对于Linux恶意软件及其对多云环境的威胁，组织面临更多问题而非答案。

鉴于此，VMware的威胁分析部门近期展开了关于Linux恶意软件增长及其对多云环境威胁的研究。研究结果总结在VMware的报告中。VMware的威胁研究人员在近期的中与SCMedia讨论了该报告。相关研究将在即将发布的SC特刊中进一步探讨。

本文是一个系列中的第二篇，重点探讨Linux恶意软件在感染目标后所做的事情。

无需多言，攻击Linux云环境的主要目标之一就是发起勒索软件攻击。这类攻击最初的发生方式类似于其他类型的网络入侵：首先是某个应用被利用或成功的网络钓鱼攻击进而导致初步入侵。随后，攻击者将深入潜入环境并获得持久控制。

一旦建立，攻击者就会启动命令和控制通信通道，以便能够随时执行勒索软件。然而，攻击者并不是简单地窃取数据，而是加密数据或关键系统——实质上是拒绝访问——直到支付赎金为止。

近年来，攻击者首先会窃取受害者的数据，如果赎金未支付，则威胁在暗网上发布这些数据。VMware的研究团队还注意到，勒索软件攻击者正在从针对单个安装转向攻击数据中心，再到针对云工作负载。

“这是一种令人担忧的趋势，我相信在未来可预见的时间内会继续下去，因为云计算变得越来越重要，”VMware威胁情报高级总监Giovanni Vigna表示。

感染Linux环境的攻击者主要动机之一是窃取计算能力，通常称为“加密劫持（cryptojacking）”。这一过程涉及在系统中植入加密挖矿软件，窃取系统的CPU资源，从而创建数字货币。这种方式的风险远低于对企业进行勒索软件攻击并试图敲诈赎金。

这些攻击可能导致可观的成本，包括更高的电费、云计算消费的增加以及系统性能的下降。然而，由于这些攻击不如直接捕获系统或数据那样显眼，它们有时可以在一段时间内不被发现。

加密劫持攻击在云系统中并不新鲜。报告的作者指出：“第一次加密劫持攻击发生在特斯拉的公共云上——一个Kubernetes部署被劫持并专用于挖掘货币，计算成本则由特斯拉支付。这一臭名昭著的事件仅是接下来一系列针对云环境CPU周期的事件的开端。”

当VMware的研究人员将他们的分析应用于加密挖矿时，他们发现几乎所有的挖矿程序都利用XMRig。Vigna表示，XMRig代码的广泛共享使研究人员能够追踪基于Linux的挖矿软件的演变。

研究团队还检查了他们收集的加密挖矿样本的行为。与勒索软件样本的行为类似，防御规避是最常用的技术。在防御规避所关联的加密方法方面，加密