Передовые методы кибербезопасности: защита Linux от угроз

Передовые методы кибербезопасности: защита Linux от угроз

Источник: www.elastic.co

В данной статье рассматриваются различные передовые методы сохранения данных в операционной системе Linux, направленные на улучшение технологий обнаружения. Основное внимание уделяется таким темам, как перехват динамического компоновщика, загружаемые модули ядра (LKMS), веб-оболочки и использование системных учетных записей по умолчанию.

Динамический перехват компоновщика

Обсуждение начинается с объяснения динамического перехвата компоновщика, при котором злоумышленники манипулируют процессом компоновки для перенаправления потока выполнения. Это достигается изменением путей к:

  • общим библиотекам,
  • файлам конфигурации,
  • кэшированным сопоставлениям библиотек.

В статье приводятся примеры вредоносных программ и методов, использующих этот подход, такие как HiddenWasp, Symbiote, Medusa и Azazel.

Инструменты для экспериментов: PANIX

Пользовательский инструмент сохранения Linux, PANIX, представлен как практическое средство для экспериментов с настройками сохранения, в частности, с использованием динамического компоновщика. PANIX демонстрирует, как злоумышленники могут внедрять вредоносные общие библиотеки, используя такие методы, как:

  • изменение ld.so.conf,
  • использование ld.so.preload,
  • взаимодействие с общесистемными файлами конфигурации.

Статья иллюстрирует выполнение модуля PANIX setup_ld_preload.sh, показывая процесс загрузки вредоносных общих объектов и запуска обратной оболочки.

Загружаемые модули ядра и руткиты

Следующий аспект, который следует обсудить, это загружаемые модули ядра (LKMS) и руткиты. Эти продвинутые вредоносные программы предназначены для сокрытия своего присутствия и поддержания постоянного доступа, манипулируя поведением ядра. PANIX включает модули как для базовых LKM, так и для полностью реализованных руткитов, демонстрируя процесс загрузки LKM и обеспечения устойчивости при перезагрузках.

Угрозы от веб-оболочек

Также в статье рассматривается угроза, исходящая от веб-оболочек – вредоносных скриптов, загружаемых на веб-серверы, которые позволяют злоумышленникам выполнять произвольные команды. Обсуждаются следующие аспекты:

  • типы веб-оболочек,
  • их интеграция с конфигурациями веб-серверов,
  • методы создания бэкдоров веб-оболочек с использованием PHP, Python и CGI.

Модуль PANIX setup_web_shell.sh рассматривается, чтобы наглядно показать процесс создания веб-оболочек и их выполнение в Kibana.

Использование системных учетных записей по умолчанию

Еще одной стратегией, обсуждаемой в статье, является использование системных учетных записей с конфигурациями по умолчанию для обеспечения постоянного доступа через SSH. Вставляя файлы authorized_keys в домашние каталоги редко используемых системных учетных записей, злоумышленники могут получить постоянный доступ без создания новых пользователей.

Выделен модуль PANIX setup_backdoor_system_user.sh, описывающий процесс использования неинтерактивных системных учетных записей для получения доступа по SSH.

Стратегии обнаружения угроз

На протяжении всей статьи подчеркивается важность включения поиска угроз в рабочие процессы обнаружения. Предлагаются конкретные стратегии обнаружения для мониторинга:

  • событий создания подозрительных файлов,
  • аномальной сетевой активности,
  • необычных действий, связанных с обсуждаемыми методами сохранения.

Эти меры могут существенно повысить уровень безопасности систем на базе Linux.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: