Linux作为最常见的云操作系统,是数字基础架构的核心部分,也正在迅速成为攻击者进入多云环境的入场券。目前的恶意软件应对策略主要是解决基于Windows系统的威胁,这使得许多公有云和私有云部署很容易受到针对基于Linux工作负载的攻击。
近日,全球领先的企业软件创新者VMware(NYSE: VMW)发布威胁报告《揭露Linux多云环境中的恶意软件》(1) ,其中详细说明了网络犯罪分子如何使用恶意软件攻击基于Linux操作系统。报告的主要发现包括:
勒索软件正集中攻击Linux虚机镜像,这些虚机镜像被用于在虚拟环境中生成工作负载89%的加密劫持(cryptojacking)攻击使用XMRig相关的库超半数的Cobalt Strike用户可能是网络犯罪分子,或是非法使用Cobalt Strike。
VMware威胁情报高级主管Giovanni Vigna表示:“网络犯罪分子正大幅扩大攻击范围,他们将针对基于Linux操作系统的恶意软件添加到工具包中,试图以最小的成本发挥最大影响。网络犯罪分子并非从感染端点入手,然后逐步转向更高价值目标,而是入侵那些能给他带来最大收益和访问权限的单个服务器。攻击者将公有云和私有云视为高价值目标,使得他们可以访问关键基础架构服务和机密数据。不幸的是,目前防御恶意软件攻击的策略仍主要集中在解决基于Windows的威胁上,这使得许多公有云和私有云部署容易受到基于Linux操作系统的攻击。”
在急剧变化的威胁环境中,随着针对基于 Linux操作系统的恶意软件数量和复杂性不断增加,组织机构必须更加重视威胁检测。在这份报告中,VMware 威胁分析部门 (TAU) 分析了多云环境中基于 Linux操作系统的威胁:勒索软件、加密矿工和远程访问工具。
勒索软件以云为目标,试图将损害最大化
作为企业机构数据泄露的主要原因之一,云环境中的勒索软件攻击能够带来灾难性后果(2)。对于云部署的勒索软件攻击是有针对性的,且通常与数据泄露相结合,实施双重勒索,以提高成功几率。新的进展表明,勒索软件正集中攻击Linux虚机镜像,这些虚机镜像被用于在虚拟环境中生成工作负载。攻击者现在正在寻找云环境中最有价值的资产,以对目标造成最大程度的损害。例如Defray777勒索软件系列,其加密了ESXi服务器上的虚机镜像。以及DarkSide勒索软件系列,它破坏了Colonial Pipeline的网络并导致了美国全国范围内的汽油短缺。
加密劫持攻击使用XMRig挖掘Monero
追求快速货币收益的网络犯罪分子通常紧盯加密货币,通过在恶意软件中加入窃取钱包的功能,或是利用被盗的CPU周期获利,从而在称为加密劫持的攻击中成功挖掘加密货币。大多数加密劫持攻击都集中在挖掘Monero货币(或XMR),VMware威胁分析部门发现89%的加密矿工都在使用XMRig相关的库。出于这个原因,当Linux二进制文件中的XMRig特定库和模块被识别时,它很可能是恶意加密行为的证据。VMware威胁分析部门还发现,防御规避是加密矿工最常用的技术。不幸的是,由于加密劫持攻击不会像勒索软件那样完全破坏所在的云环境,因此它们更难被检测到。
Cobalt Strike是攻击者首选的远程访问工具
为了获得控制权并在环境中持续存在,攻击者希望在受感染的系统上安装植入程序,从而使他们能够部分控制机器。恶意软件、webshell和远程访问工具(RAT)都可能是攻击者在受感染系统中使用的植入程序,以实现远程访问。攻击者使用的主要植入程序之一是Cobalt Strike以及它最近的基于Linux的Vermilion Strike变体。由于Cobalt Strike已经是Windows上的普遍威胁,它现在扩展到基于 Linux的操作系统,这表明威胁者希望利用现成的工具来针对尽可能多的平台。
2020 年 2 月至 2021 年 11 月期间,VMware威胁分析部门在互联网上发现了14,000多个活跃的 Cobalt Strike Team服务器。破解和泄露的Cobalt Strike用户信息总百分比为 56%,这意味着超半数的Cobalt Strike用户可能是网络犯罪分子,或至少是在非法使用Cobalt Strike。Cobalt Strike和Vermilion Strike等 RAT 已成为网络犯罪分子的商品工具,这一事实对企业构成了重大威胁。
VMware 威胁研究经理Brian Baskin表示:“自从我们实施分析以来,观察到越老越多的勒索软件系列被针对基于 Linux系统的恶意软件所吸引,并有可能利用 Log4j 漏洞进行额外攻击。本报告中的发现可用于更好地了解这种恶意软件的性质,并减轻勒索软件、加密货币挖矿和RAT对多云环境日益增长的威胁。随着针对云的攻击不断发展,组织应采用零信任方法在其基础架构中嵌入安全性能,并系统性地解决构成其攻击面的威胁向量。”
1《揭露Linux多云环境中的恶意软件》(Exposing Malware in Linux-Based Multi-Cloud Environments),VMware, 2022年2月
2 《全球安全洞察报告》(Global Security Insights Report),VMware,2021年6月
好文章,需要你的鼓励
当前软件工程团队正在试验基于AI代理的编码工具和大语言模型,以提高开发速度和质量。然而,AI编码工具的效果很大程度上取决于使用方式。开发者需要提供结构化的问题描述、明确的执行要求和相关上下文,同时建立适当的防护机制。AI不仅能处理重复性任务,还能识别和评估替代方案,从被动助手演进为工作流程推进器。成功的关键在于将AI视为合作伙伴而非快捷工具,并将其整合到软件交付的全生命周期中。
NVIDIA研究团队开发出名为Lyra的AI系统,能够仅凭单张照片生成完整3D场景,用户可自由切换观察角度。该技术采用创新的"自蒸馏"学习方法,让视频生成模型指导3D重建模块工作。系统还支持动态4D场景生成,在多项测试中表现优异。这项技术将大大降低3D内容创作门槛,为游戏开发、电影制作、VR/AR应用等领域带来重大突破。
Salesforce发布企业级AI智能体平台Agentforce 360,将AI智能体融入几乎所有应用中。该平台采用混合推理引擎Atlas,结合大语言模型的概率思维和业务规则的精确性,支持语音交互和深度集成。以Slack为主要界面,提供Agentforce Builder开发环境,能将非结构化文档转换为可查询记录。Salesforce内部已部署该系统,每周处理180万次对话,主动服务活动增长40%。
谷歌DeepMind团队创新性地让Gemini 2.5模型在无需训练的情况下学会理解卫星多光谱图像。他们将复杂的12波段卫星数据转换为6张可理解的伪彩色图像,配以详细文字说明,使通用AI模型能够准确分析遥感数据。在多个基准测试中超越现有模型,为遥感领域AI应用开辟了全新道路。