Linux 作为最广泛使用的云操作系统，是数字基础设施的重要组成部分。

迄今为止使用的对策主要集中在基于 Windows 的威胁上。这是个错误。这是由于针对基于 Linux 的操作系统的恶意软件的规模和复杂程度不断增加。VMware 威胁分析单元 (TAU) 分析了多云环境中的 Linux 威胁。攻击者最常用的工具是：勒索软件、加密软件和远程访问工具。

还要检查：

VMware 首席解决方案工程师 Andrzej Szymczak表示：“网络犯罪分子正在从根本上扩展运营领域，并将针对基于 Linux 的操作系统的恶意软件包含在他们的武器库中。这是为了以最小的努力最大限度地提高盗窃效率。 ” 网络犯罪分子并没有感染设备（计算机、笔记本电脑、手机），即端点，直接进入更有利可图的目标，而是发现对服务器的一次攻击可以带来巨额利润，并确保访问数据，尤其是敏感数据，以及计算能力。公共云和私有云对于访问关键基础设施服务和机密数据都具有重要价值。

报告的主要结论：

• 勒索软件不断发展并针对用于在虚拟环境中运行工作负载的工具（例如主机）。

• 89% 的 Cryptojacking 攻击涉及 XMRig 链接库

• 超过一半的 Cobalt Strike 用户可能是网络犯罪分子或至少非法使用该工具。

云勒索软件目标

对云的成功勒索软件攻击可能会产生严重后果。

如 CD Projekt 所示，此类攻击也发生在波兰。双向操作-数据加密和盗窃增加了快速和大利润的机会。出现一种新现象，即基于 Linux 的勒索软件正在不断发展，并针对用于在虚拟环境中运行不同类型软件的工具。

黑客现在正在云环境中寻找更有价值的资源，以对目标造成最大的破坏。示例包括 Defray777 勒索软件系列，它加密了 ESXi 服务器上的图像，以及 DarkSide 勒索软件组，它使 Colonial Pipeline 网络瘫痪，导致美国汽油短缺。

加密劫持

寻求轻松收入的网络犯罪分子通常以加密货币为目标。网络犯罪分子要么在恶意软件中插入钱包窃取机制，要么使用捕获的 CPU 能力在称为加密劫持的攻击中提取它。这些攻击大多集中在门罗币 (XMR) 挖掘上。

VMware TAU 发现 89% 的加密货币使用 XMRig 相关库。因此，当在 Linux 二进制文件中检测到某些 XMRig 库和模块时，这很可能是黑客入侵的证据。VMware TAU 还指出，绕过安全性是针对 Linux 的最常用攻击方法。不幸的是，这些程序不会像勒索软件那样破坏云环境，因此很难检测到。

Cobalt Strike – 攻击工具

为了获得控制权并在环境中生存，网络犯罪分子试图在系统中安装植入物，从而使他们能够部分控制设备。恶意软件、Web shell 和远程访问工具 (RAT) 可用于受影响的系统以允许远程访问。攻击者使用的主要工具之一是商业红队渗透测试工具 Cobalt Strike，以及基于 Linux 的最新版本 Vermilion Strike。它对 Windows 构成了如此普遍的威胁，以至于其 Linux 扩展突出了网络犯罪分子使用现成工具以尽可能多的平台为目标的努力。

在 2020 年 2 月至 2021 年 11 月期间，VMware TAU 团队在线发现了 14,000 多台活跃的 Cobalt Strike Team 服务器。被破坏和泄露的 Cobalt Strike 客户 ID 的总百分比为 56%，这意味着超过一半的用户可能是网络犯罪分子或至少非法使用 Cobalt Strike。RAT 工具是一种恶意工具这一事实对企业构成了严重威胁。

VMware 解决方案工程高级总监 Piotr Kraś表示：“自我们的分析以来，已经观察到更多类型的勒索软件，例如 Linux。这增加了其他攻击的可能性，这些攻击可以利用 Log4j 中的漏洞。 ” “该报告的结论可用于更好地了解基于 Linux 的恶意软件的性质，并减轻勒索软件、加密和 RAT 在多云环境中日益增长的威胁。云攻击不断发展，因此我们必须采用零信任方法来嵌入安全性整个基础设施，并系统地解决为攻击创造表面的威胁向量。”

想了解更多关于零信任的信息吗？我们邀请您收听 Computerworld Tech Trends 的两期特别社论： “信任零 – 不会有不同的真相”和“安全性？让我们开始工作吧……”