Передовые методы кибербезопасности: защита Linux от угроз

Источник: www.elastic.co
В данной статье рассматриваются различные передовые методы сохранения данных в операционной системе Linux, направленные на улучшение технологий обнаружения. Основное внимание уделяется таким темам, как перехват динамического компоновщика, загружаемые модули ядра (LKMS), веб-оболочки и использование системных учетных записей по умолчанию.
Динамический перехват компоновщика
Обсуждение начинается с объяснения динамического перехвата компоновщика, при котором злоумышленники манипулируют процессом компоновки для перенаправления потока выполнения. Это достигается изменением путей к:
- общим библиотекам,
- файлам конфигурации,
- кэшированным сопоставлениям библиотек.
В статье приводятся примеры вредоносных программ и методов, использующих этот подход, такие как HiddenWasp, Symbiote, Medusa и Azazel.
Инструменты для экспериментов: PANIX
Пользовательский инструмент сохранения Linux, PANIX, представлен как практическое средство для экспериментов с настройками сохранения, в частности, с использованием динамического компоновщика. PANIX демонстрирует, как злоумышленники могут внедрять вредоносные общие библиотеки, используя такие методы, как:
- изменение
ld.so.conf, - использование
ld.so.preload, - взаимодействие с общесистемными файлами конфигурации.
Статья иллюстрирует выполнение модуля PANIX setup_ld_preload.sh, показывая процесс загрузки вредоносных общих объектов и запуска обратной оболочки.
Загружаемые модули ядра и руткиты
Следующий аспект, который следует обсудить, это загружаемые модули ядра (LKMS) и руткиты. Эти продвинутые вредоносные программы предназначены для сокрытия своего присутствия и поддержания постоянного доступа, манипулируя поведением ядра. PANIX включает модули как для базовых LKM, так и для полностью реализованных руткитов, демонстрируя процесс загрузки LKM и обеспечения устойчивости при перезагрузках.
Угрозы от веб-оболочек
Также в статье рассматривается угроза, исходящая от веб-оболочек – вредоносных скриптов, загружаемых на веб-серверы, которые позволяют злоумышленникам выполнять произвольные команды. Обсуждаются следующие аспекты:
- типы веб-оболочек,
- их интеграция с конфигурациями веб-серверов,
- методы создания бэкдоров веб-оболочек с использованием
PHP,PythonиCGI.
Модуль PANIX setup_web_shell.sh рассматривается, чтобы наглядно показать процесс создания веб-оболочек и их выполнение в Kibana.
Использование системных учетных записей по умолчанию
Еще одной стратегией, обсуждаемой в статье, является использование системных учетных записей с конфигурациями по умолчанию для обеспечения постоянного доступа через SSH. Вставляя файлы authorized_keys в домашние каталоги редко используемых системных учетных записей, злоумышленники могут получить постоянный доступ без создания новых пользователей.
Выделен модуль PANIX setup_backdoor_system_user.sh, описывающий процесс использования неинтерактивных системных учетных записей для получения доступа по SSH.
Стратегии обнаружения угроз
На протяжении всей статьи подчеркивается важность включения поиска угроз в рабочие процессы обнаружения. Предлагаются конкретные стратегии обнаружения для мониторинга:
- событий создания подозрительных файлов,
- аномальной сетевой активности,
- необычных действий, связанных с обсуждаемыми методами сохранения.
Эти меры могут существенно повысить уровень безопасности систем на базе Linux.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



