Top 10 des menaces de logiciels malveillants dans le cloud
Ils ciblent tous les systèmes Linux
Pendant longtemps, Linux n'a pas été considéré comme une cible sérieuse des acteurs de la menace. Ce système d'exploitation représente un si petit pourcentage de la part de marché des ordinateurs de bureau par rapport à Windows, il n'est pas surprenant que les acteurs de la menace concentrent la majeure partie de leur attention sur l'attaque des points de terminaison Windows.
Cependant, les temps changent rapidement à mesure que le prochain champ de bataille majeur passe des points de terminaison Windows traditionnels sur site aux serveurs et conteneurs Linux dans le cloud. Pour la perspective, 90% du cloud public fonctionne sous Linux.
Les attaquants en prennent note. Certains ont commencé à écrire de nouveaux logiciels malveillants à partir de zéro exclusivement pour Linux, tandis que d'autres adaptent leurs programmes malveillants Windows existants pour cibler Linux.
Les plates-formes traditionnelles de protection des terminaux conçues pour sécuriser Windows ont du mal à faire face aux menaces Linux.
Si vous êtes dans le cloud, assurez-vous de disposer d'une solution de sécurité compatible avec les systèmes Linux, à la fois en termes de détection des menaces et de performances.
Ci-dessous, nous mettons en évidence 10 familles de logiciels malveillants Linux ciblant le cloud qui devraient être sur votre radar.
1. TrickBot
Cela peut surprendre certains que TrickBot possède des logiciels malveillants Linux. Le populaire cheval de Troie bancaire Windows est utilisé comme malware-as-a-service (MaaS) par les cybercriminels et les acteurs des États-nations, principalement dans le cadre de campagnes à motivation financière. TrickBot est capable de voler des informations d'identification, de se propager sur le réseau, de voler des cookies et de déployer des ransomwares.
Fin 2019, SentinelOne et NTT ont signalé une nouvelle menace TrickBot, appelée Anchor, qui agit comme une porte dérobée et utilise DNS pour communiquer avec son serveur de commande et de contrôle (C2). En juillet 2020, le chercheur Waylon Grange a découvert un échantillon Anchor ciblant les systèmes Linux. La variante Linux n'est pas seulement une porte dérobée, mais a également la capacité de supprimer et d'exécuter d'autres logiciels malveillants, y compris la version Windows de TrickBot, dans le but d'infecter les machines Windows sur le même réseau.
2. Kobalos
Les chercheurs d'ESET ont découvert une porte dérobée multiplateforme sophistiquée appelée Kobalos. Le logiciel malveillant ciblait des ordinateurs hautes performances appartenant à des fournisseurs de sécurité de point de terminaison, des fournisseurs de services Internet et des universités de premier plan. Kobalos possède des fonctionnalités avancées, notamment l'évasion du réseau et des techniques anti-médico-légales. Une fois qu'un serveur est compromis, il peut être utilisé comme serveur de commande et de contrôle (C2) par d'autres serveurs compromis. Il a été découvert plus tard que les hôtes des victimes contenaient un processus de porte dérobée OpenSSH destiné à voler les informations d'identification des connexions entrantes.
3. FreakOut
Le botnet FreakOut infecte les systèmes Linux principalement en exploitant des vulnérabilités connues. Les serveurs vulnérables ciblés incluent le Zend Framework, le Liferay et le stockage en réseau (NAS) TerraMaster.
Une fois que l'attaquant a obtenu l'accès au système, il télécharge un script python connectant la victime à un serveur de commande et de contrôle (C2) afin que l'attaquant puisse contrôler la machine compromise. FreakOut a été vu effectuer tous les types d'activités malveillantes, du cryptojacking, de l'analyse de port et du reniflage de réseau, à la propagation à d'autres appareils du réseau via des exploits de vulnérabilité, des attaques DDoS et un reverse-shell ouvert. FreakOut met l'accent sur la nécessité de mises à jour de sécurité régulières ainsi que sur la sécurité d'exécution.
4. RansomEXX
RansomEXX, un cheval de Troie de cryptage de fichiers ciblant autrefois uniquement les machines Windows, a commencé à attaquer les machines Linux à la fin de 2020 lorsqu'il est devenu un malware multiplateforme. Cette menace cible diverses entités gouvernementales et entreprises technologiques. Les attaques récentes incluent le département des transports du Texas, le système judiciaire brésilien et le géant de la technologie commerciale Konica Minolta.
5. Drovorub
Selon l’alerte conjointe du FBI et de la NSA, Drovorub est l’œuvre d’APT28, également connue sous le nom de Sofacy ou Fancy Bear. Drovorub se compose d'un implant avec un rootkit de module de noyau, un outil de transfert de fichiers, un module de transfert de port et un serveur de commande et de contrôle (C2). Une fois installé sur la machine de la victime, le logiciel malveillant est capable de communiquer avec le serveur C2, de télécharger / télécharger des fichiers, d’exécuter des commandes arbitraires avec des privilèges root et de se propager à d’autres hôtes du réseau. Le rootkit du module noyau utilise notamment diverses techniques pour cacher le malware, permettant à l'implant de rester caché dans le réseau et d'attaquer à tout moment. Étant donné que cette menace est associée à un groupe APT russe, nous supposons que ses opérations ciblant Linux ne font que commencer.
6. WellMess
WellMess est une porte dérobée avec une version Windows et Linux, chacune possédant des capacités similaires qui ont été mises à jour depuis la première version du logiciel malveillant en 2018. Le National Cyber Security Center du Royaume-Uni rapporte que WellMess a été utilisé dans plusieurs tentatives pour voler des informations à entreprises développant des vaccins COVID-19. Cette menace est attribuée à Blue Kitsune (alias APT29 ou Cozy Bear).
7. GitPaste-12
Découvert en octobre 2020 par Juniper Threat Labs, ce botnet cible les serveurs Linux et les appareils Internet des objets (IoT). GitPaste-12 utilise plusieurs vulnérabilités connues pour exploiter ses victimes, certaines de ces vulnérabilités étant Apache Struts (CVE-2017-5638), les routeurs ASUS (CVE-2013-5948), les routeurs Tenda (CVE-2020-10987) et un plugin WebAdmin pour opendreambox (CVE-2017 -14135). Le botnet héberge du code malveillant sur GitHub et Pastebin pour les portes dérobées et les logiciels malveillants de cryptomining.
8. IPStorm
IPStorm est un autre botnet autrefois ciblé uniquement sur les machines Windows, mais a fait le passage à Linux (et également à macOS). IPStorm abuse d'un peer-to-peer (P2P) légitime pour masquer le trafic malveillant, permettant à l'attaquant d'exécuter du code arbitraire sur la machine infectée. Les nouvelles variantes de Linux partagent le code avec les anciennes versions de Windows tout en implémentant de nouvelles fonctionnalités, notamment la force brute SSH, pour se propager à d'autres victimes sur le réseau cloud.
IPStorm fait partie de la liste croissante de logiciels malveillants multiplateformes écrits en Golang et utilisés dans des attaques sur des serveurs cloud Linux.
Téléchargez le guide de détection et de réponse IPStorm.
9. Cloud Snooper
Cloud Snooper fait partie d'une attaque sophistiquée utilisant une combinaison unique de techniques pour échapper à la détection, tout en permettant au malware de communiquer librement avec son serveur de commande et de contrôle (C2) via un pare-feu. Les hôtes Windows et Linux ont été infectés par cette campagne. La complexité de cette attaque nous donne des raisons de croire que les acteurs de la menace derrière le malware sont soutenus par l'État-nation.
10. Logiciel malveillant de cryptojacking
Le marché haussier récent et la valeur accrue des crypto-monnaies ont attiré un grand nombre de logiciels malveillants de cryptojacking Linux ciblant les environnements cloud. Ce type d'attaque exploite la grande puissance de traitement du cloud computing pour extraire de manière malveillante la crypto-monnaie.
Il existe de nombreux types de logiciels malveillants de cryptojacking. Certains sont basés sur des projets open source comme XMRig Miner, tandis que d'autres sont développés à partir de zéro comme Kinsing, ce dernier qui fait partie d'une campagne en cours compromettant les serveurs qui ont exposé les ports de l'API Docker. Outre l'extraction de la crypto-monnaie, Kinsing a d'autres capacités. Il collecte les informations d'identification SSH pour accéder à d'autres serveurs cloud hébergés sur l'infrastructure, assure la persistance et met en œuvre des techniques de contournement de la défense.
Des attaques récentes ont montré que les cryptomineurs Linux trouveront leur chemin dans l'environnement de production. Assurez-vous que vous disposez d'une protection d'exécution pour les éliminer lors de l'exécution.
Résumé
Le paysage des menaces du cloud abrite un certain nombre de logiciels malveillants Linux et de plus en plus. Avec une augmentation de 500% du nombre de familles de malwares liés à Linux au cours de la dernière décennie, les environnements cloud sont un vecteur d'attaque majeur pour les acteurs de la menace.
Si vous utilisez actuellement le cloud ou prévoyez de le faire prochainement, gardez un œil attentif sur ces menaces.
Les EDR Windows traditionnels ont du mal à détecter les menaces Linux. Intezer Protect défend les environnements cloud contre les dernières menaces Linux sans ralentir les performances. Essayez notre édition communautaire gratuite.
REF.: