Las amenazas cibernéticas de Linux son menos populares que las amenazas de Windows, pero se vuelven aún más peligrosas. Los planes subestimados y subestimados, apuñalaron sus puntos finales y redes en la parte posterior, causando interrupciones operativas y pérdidas económicas.
Es cierto que los usuarios de escritorio individuales están menos dirigidos al malware específico de Linux que el malware para los sistemas Windows.
Sin embargo, todavía son así. Sin embargo, dirigirse a los servidores con Linux es mucho más productivo para arriesgar la infraestructura de la empresa, amenazar a toda la industria y dirigirse a la cadena de suministro.
Descubra el malware de Linux a través de la inteligencia de amenazas
Esto hace que sea particularmente importante que las empresas utilicen las herramientas adecuadas para la seguridad agresiva, como la búsqueda de la inteligencia de amenazas y las cajas de arena interactivas.
Página de inicio de búsqueda de inteligencia de amenazas: haga clic en la barra de búsqueda y vea los parámetros de consulta
La búsqueda de TI le permite buscar datos de amenazas extraídos de las últimas muestras de malware y phishing.
Esta es una de las mejores herramientas para estudiar ataques e incidentes. Explore los vastos repositorios de búsqueda de IOC, IOAS e IOB, IOBS contiene muchos datos nuevos sobre Windows y Malware y campañas de Linux.
Estos datos se pueden utilizar para configurar sistemas de monitoreo y detección, analizar los paisajes de amenazas, rastrear el malware en evolución y evitar problemas a nivel estratégico.
Comience a investigar amenazas dirigidas a la infraestructura con 50 solicitudes de intento de búsqueda de TI.
Identificación: COI como clave
Una IP sospechosa puede ser suficiente para identificar actividades maliciosas, y así es como funciona. Verifique las nuevas direcciones detectadas en su red a través de las búsquedas TI.
DestinationIP: ”176.65.144.253 ″
Publicar botnets de búsqueda con resultados de IP
¿Qué ves en los resultados de la búsqueda?
La IP es marcada como maliciosa y es parte de Moonbot. Esta es una variante de Mirai, la botnet Linux más popular. Las IP se encuentran en muestras de Mirai frescas, que es un indicador de amenazas activo e importante. La IP está vinculada a muchas otras métricas de compromiso, incluidos puertos, dominios y URL, y desencadena algunas reglas de Suricata.
Todos estos datos pueden usarse para concentrar defensas agresivas para detectar esta amenaza por adelantado.
Prevención: actualizaciones de amenazas en evolución
La protección agresiva significa evitar ataques y hacer daño antes de que ocurran. Puede ver si la amenaza general está dirigida a la infraestructura de otras compañías en nuestro país y cómo lo está haciendo ahora.
Supongamos que somos negocios de Alemania. Combine el nombre del país, el tipo de amenaza (botnet) y la versión de Ubuntu OS en la consulta de búsqueda de búsqueda de TI.
OS: “22.04.2” y amenaza: “Botnet” y SubmissionCountry: “DE”
En los resultados de búsqueda, puede cambiar a la pestaña Análisis y ver miles de muestras de malware publicadas.
Actualmente estoy buscando una botnet dirigida a los puntos finales de Ubuntu en Alemania
Incluso antes de abrir el análisis, recibirá ideas procesables.
Los puntos finales basados en Linux de nuestro país están siendo activamente amenazados activamente por varios botnets. Entre ellos están Mirai, Producei y Gaffgit. Gafgyt y Mirai prefieren dirigirse a dispositivos IoT con contraseñas SSH débiles, mientras que Prometei prefiere explotar las vulnerabilidades en el sistema operativo. Estos son posibles puntos débiles en la infraestructura de la red para verificar.
Investigación: Datos para la protección proactiva
Como puede ver en el ejemplo anterior, el popular malware de Botnet Linux a menudo explota las vulnerabilidades de SSH cuando se investiga adecuadamente. Estoy usando SSH Scanning. SSH Scanning es una técnica utilizada por los servicios SSH para identificar sistemas que están expuestos a Internet.
Este proceso generalmente incluye herramientas o scripts automatizados que escanean direcciones IP para detectar puertos SSH abiertos (generalmente puerto 22) e intentan obtener acceso no autorizado. Los archivos en el formato .fel a menudo se dedican a tales actividades.
Las solicitudes de búsquedas de inteligencia de amenazas pueden ayudarlo a escanear puertos SSH para encontrar muestras recientes de malware involucradas.
FilePath: “.elf” y amenaza: “sshscan”
Malware involucrado en escaneos SSH que se encuentran a través de las búsquedas de TI
¿Por qué es importante?
Si ve archivos .fil asociados con actividad maliciosa en los datos de inteligencia de amenazas (como los escaneos SSH), es una señal clara de que el atacante está dirigido activamente al entorno Linux. Analizar tales muestras puede ayudarlo a comprender de qué puertos, protocolos, escenarios de ataque se están utilizando y de dónde provienen los intentos de acceder. Puede extraer IOC de la muestra: dirección IP del escáner, hash de archivo .elf, cadena de línea de comando, dominio del servidor C2.
Cómo usar datos de inteligencia de amenazas para proteger de manera proactiva su sistema Linux
Los IOC, los IOB y los IOA pueden configurar firewalls, sistemas NID/NIPS, herramientas EDR/antivirus, reglas de SIEM y alertas utilizando lo que se produce al buscar inteligencia de amenazas.
Según los datos de TI, puede actualizar las reglas de Yara para detectar archivos similares, configurar reglas de caza de amenazas (por ejemplo, para registrar los intentos de las conexiones SSH de IPS en la lista negra) y rastrear los movimientos laterales cuando el atacante ya está en la red.
Si el número de tales muestras está aumentando, podría indicar una ola de campañas o ataques en curso. Esto le permite alertar a su negocio y monitorear la segmentación de red, la autenticación SSH mejorada y el monitoreo de conexión entrante más de cerca.
Conclusión
El impacto comercial de atraer inteligencia de amenazas en la caza de amenazas de Linux es claro:
La detección temprana de amenazas similares a malware utilizando escaneos SSH le permite bloquear los ataques antes de que ocurra el daño, evitando las respuestas de incidentes de alto costo. La inteligencia de amenazas lo ayuda a actuar de manera proactiva, reduciendo el tiempo promedio y detectando y respondiendo directamente a posibles pérdidas de ingresos. Proactivamente proteger los sistemas confidenciales puede ayudarlo a evitar sanciones por incumplimiento. Centrarse en las verdaderas amenazas significa un mejor uso del tiempo y el presupuesto de SOC. Mantenerse por delante de las amenazas dirigidas a Linux indica que su organización es un negocio maduro y responsable que valora la ciberseguridad.
Inicie la investigación sobre las amenazas objetivo de Linux para comprender los riesgos. Use 50 solicitudes de búsqueda de TI intentadas.
