攻击Linux的系统主要手段为勒索软件和加密劫持

Linux作为常见的云操作系统，是数字基础架构的核心部分，也正在迅速成为攻击者进入多云环境的入场券。目前的恶意软件应对策略主要是解决基于Windows系统的威胁，这使得许多公有云和私有云部署很容易受到针对基于Linux工作负载的攻击。
近日，某公司企业发布威胁报告《揭露Linux多云环境中的恶意软件》其中详细说明了网络犯罪分子如何使用恶意软件攻击基于Linux操作系统
报告的主要发现包括：
勒索软件正集中攻击Linux虚机镜像，这些虚机镜像被用于在虚拟环境中生成工作负载
89%的加密劫持(cryptojacking)攻击使用XMRig相关的库
超半数的Cobalt Strike用户可能是网络犯罪分子，或是非法使用Cobalt Strike

报告中表示：网络犯罪分子正大幅扩大攻击范围，他们将针对基于Linux操作系统的恶意软件添加到工具包中，试图以小的成本发挥大影响。网络犯罪分子并非从端点入手，然后逐步转向更高价值目标，而是入侵那些能给他带来大收益和访问权限的单个服务器。攻击者将公有云和私有云视为高价值目标，使得他们可以访问关键基础架构服务和机密数据。不幸的是，目前防御恶意软件攻击的策略仍主要集中在解决基于Windows的威胁上，这使得许多公有云和私有云部署容易受到基于Linux操作系统的攻击。

在急剧变化的威胁环境中，随着针对基于 Linux操作系统的恶意软件数量和复杂性不断增加，组织机构必须更加重视威胁检测。在这份报告中分析了多云环境中基于 Linux操作系统的威胁：勒索软件、加密矿工和远程访问工具。
勒索软件以云为目标，试图将损害较大化

　　作为企业机构数据泄露的主要原因之一，云环境中的勒索软件攻击能够带来灾难性后果(2)。对于云部署的勒索软件攻击是有针对性的，且通常与数据泄露相结合，实施双重勒索，以提高成功几率。新的进展表明，勒索软件正集中攻击Linux虚机镜像，这些虚机镜像被用于在虚拟环境中生成工作负载。攻击者现在正在寻找云环境中有价值的资产，以对目标造成大程度的损害。例如Defray777勒索软件系列，其加密了ESXi服务器上的虚机镜像。以及DarkSide勒索软件系列，它破坏了Colonial Pipeline的网络并导致了美国全国范围内的汽油短缺

加密劫持攻击使用XMRig挖掘Monero

　　追求快速货币收益的网络犯罪分子通常紧盯加密货币，通过在恶意软件中加入窃取钱包的功能，或是利用被盗的CPU周期获利，从而在称为加密劫持的攻击中成功挖掘加密货币。大多数加密劫持攻击都集中在挖掘Monero货币(或XMR)，分析部门发现89%的加密矿工都在使用XMRig相关的库。出于这个原因，当Linux二进制文件中的XMRig特定库和模块被识别时，它很可能是恶意加密行为的证据。VMware威胁分析部门还发现，防御规避是加密矿工常用的技术。不幸的是，由于加密劫持攻击不会像勒索软件那样完全破坏所在的云环境，因此它们更难被检测到。

Cobalt Strike是攻击者的远程访问工具

　　为了获得控制权并在环境中持续存在，攻击者希望在受的系统上安装植入程序，从而使他们能够部分控制机器。恶意软件、webshell和远程访问工具(RAT)都可能是攻击者在受系统中使用的植入程序，以实现远程访问。攻击者使用的主要植入程序之一是Cobalt Strike以及它近的基于Linux的Vermilion Strike变体。由于Cobalt Strike已经是Windows上的普遍威胁，它现在扩展到基于 Linux的操作系统，这表明威胁者希望利用现成的工具来针对尽可能多的平台。

2020 年 2 月至 2021 年 11 月期间，分析部门在互联网上发现了14,000多个活跃的 Cobalt Strike Team服务器。破解和泄露的Cobalt Strike用户信息总百分比为 56%，这意味着超半数的Cobalt Strike用户可能是网络犯罪分子，或至少是在非法使用Cobalt S***balt Strike和Vermilion Strike等 RAT 已成为网络犯罪分子的商品工具，这一事实对企业构成了重大威胁。