Hackers abusam de ferramentas nativas do Linux para atacá-lo!

hackers-abusam-de-ferramentas-nativas-do-linux-para-ataca-lo

O Linux está cada vez mais visado pelos cibercriminosos. Agora, por exemplo, hackers abusam de ferramentas nativas do Linux para atacar sistemas Linux.

Em uma ampla variedade de organizações em todo o mundo, a adoção de contêineres mostrou sinais de se tornar popular nos últimos anos. Desde que projetos de orquestração de contêineres como Kubernetes e outras ferramentas disponíveis na nuvem foram desenvolvidos nos últimos anos, ocorreu uma onda de transformações na forma como as organizações operam.

Por exemplo, a aplicação de arquiteturas baseadas em microsserviços ao invés de arquiteturas monolíticas é um recurso que tem se tornado cada vez mais popular no desenvolvimento de sistemas distribuídos. Como consequência dessas mudanças, no entanto, também houve um aumento na superfície de ataque, o que é um problema.

Especificamente por meio de configurações incorretas de segurança e vulnerabilidades introduzidas durante a implantação que levam a ameaças e comprometimentos de segurança. Por causa disso, os hackers estão lançando ataques em ambientes Linux explorando ferramentas nativas do Linux. 

Ataques usando ferramentas nativas do Linux

Normalmente, há uma cadeia de exploração padrão que é seguida por um invasor ao atacar um sistema baseado em Linux. O primeiro passo para obter acesso a um ambiente é um invasor explorar uma vulnerabilidade. 

De acordo com o relatório da Trend Micro, para obter acesso a outras áreas do sistema comprometido, um invasor pode seguir caminhos diferentes: o ambiente atual da organização é descrito enumerando seu contexto; exfiltração de dados de um ambiente que contém informações confidenciais; desabilitando o aplicativo e causando um ataque de negação de serviço; baixando mineradores e criptomoedas de mineração.

Os ataques ainda podem experimentar outras técnicas, como: escalação de privilégios; movimento lateral; persistência e; acesso de credencial.

Os agentes de ameaças usam várias ferramentas que acompanham as distribuições Linux para atingir esse objetivo. Tais como: ondulação; wget; chmod; chat; ssh; base64; chroot; crontab; ps e; pkill.

hackers-abusam-de-ferramentas-nativas-do-linux-para-ataca-lo

A decodificação de strings codificadas no formato base64 é feita com a ferramenta base64, que é um utilitário Linux. Para evitar a detecção, os invasores geralmente usam a codificação base64 para ofuscar suas cargas e comandos, lembra o GBHackers.

Os comandos do shell bash dos usuários são registrados em seu arquivo de histórico .bash, que está localizado em seu diretório inicial. Um invasor optou por usar os utilitários Visual One workbench, chroot e base64 para executar código malicioso.

A ferramenta chroot é usada para alterar a raiz para o diretório fornecido (neste caso, /host), onde o sistema de arquivos do host subjacente é montado dentro do contêiner.