Linux恶意软件的威胁与持续性

关键要点

• Linux操作系统在云计算中的主导地位，使得针对Linux的恶意软件增长引发了安全隐患。
• VMware的威胁分析小组针对Linux恶意软件进行研究，结果在其报告中详细说明。
• 此文探讨了一些使Linux恶意软件持久存在的特征和策略。

在云计算中，90%的服务依赖于Linux操作系统，因此恶意软件的出现并不令人意外。然而，现有的大多数安全工具主要针对Windows平台的威胁，这导致在理解Linux恶意软件及其对多云环境的威胁，以及组织如何应对时存在巨大空白。

鉴于这一背景，VMware的威胁分析小组最近开展了对Linux恶意软件增长及其对多云环境威胁的研究。相关发现已在VMware的报告中详细记录。VMware的威胁研究人员在最近的一场网络广播中与SCMedia进行了交流。该研究将在即将发布的SC专题报告中进一步涵盖。

本文是系列文章中的第一篇，重点介绍使Linux恶意软件如此持久的某些特征。

高级云管理工具

Linux恶意软件之所以能持久存在，有多种原因。例如，它针对云基础设施，利用高级云管理工具关闭虚拟系统，以便加密系统、工作负载和数据。

此外，针对Linux的攻击技术也容易从针对Windows系统的传统手段中进行适配。例如，勒索软件团伙HelloKitty通过开发其之前攻击中使用的软件的新版本，从Windows系统转向了Linux。

VMware的威胁情报高级主管GiovanniVigna表示：“我们还看到，开放的Docker基础设施和Kubernetes基础设施可以被用来部署新的[恶意软件]组件。”

勒索软件策略

Linux恶意软件持久存在的另一个例证：勒索软件已发展为能够针对主机镜像进行攻击。例如，Defray777能够加密VMwareESXi服务器上的主机镜像。其他针对Linux系统的勒索软件家族包括Erebus、GonnaCry和eCh0raix。

研究团队通过分析恶意软件，包括相关的Shell和Python脚本及二进制文件，识别出相当多的代码共享。这包括广泛存在的恶意软件，如DarkSide和BlackMatter，ViceSociety与REvil共享代码片段。

研究人员进一步识别了Linux勒索软件的能力，并将其与MITREATT&CK框架进行了关联。他们发现59%的样本存在防御规避、模糊文件或信息，18%显示系统信息发现，几乎11%的样本则有反模糊/解码的文件或信息。

Cobalt Strike的滥用

威胁行为者还通过劫持商业软件，加深在Linux云环境中的控制。

例如，自2020年2月以来，研究人员在互联网上发现了超过14,000个活跃的Cobalt Strike团队服务器。CobaltStrike是最早的公开红队指挥与控制框架之一。在2020年，HelpSystems收购了Cobalt Strike，以将其纳入其核心安全组合并与CoreImpact结合。如今，Cobalt Strike已成为许多美国政府、大型企业和咨询机构的红队平台。

然而，对于坏分子来说，它也是一个首选平台：根据VMware报告，被破解或泄露的Cobalt Strike客户ID占比达56%。这意味着超过一半的CobaltStrike用户正在使用非法获得的商业软件版本。

进一步了解Linux恶意软件的威胁

了解这种未被充分关注的恶意软件的核心特征，是希望加强Linux安全态势的组织的重要起点。同样，理解Linux恶意软件成功入侵环境后的行为也至关重要，相关内容将在我们的下一篇文章中进行探讨。

在此期间，欲继续探讨这一主题，请下载，或收听SC Media与VMware关于该报告发现的网络广播。