- VoidLink on raamistik malware modulaarne ja täiustatud Linux, mille eesmärk on saavutada püsiv ja varjatud juurdepääs pilvepõhistes keskkondades.
- Pahavara tuvastab teenusepakkujaid, nagu AWS, GCP või Azure, nende metaandmete API-de kaudu ja kohandab oma käitumist keskkonnaga, olgu selleks siis konteinerid või klastrid.
- Selle enam kui 30 moodulit võimaldavad luuret, privileegide eskaleerimist, külgmist liikumist, volituste vargust ja rootkit-laadseid funktsioone.
- Volituste tugevdamine, avalikustatud API-de auditeerimine, pilve jälgimine ja minimaalsete õiguste rakendamine on VoidLinki tekitatava riski leevendamiseks võtmetähtsusega.
VoidLinkist on saanud üks kõige rohkem kära tekitavaid nimesid maailmas Linuxi küberturvalisus ja pilve. Me ei tegele lihtsa tüütu viirusega, vaid väga arenenud pahavara raamistikuga, mis on loodud tungima Linuxi serveritesse, mis toetavad kriitilisi teenuseid, konteinerrakendusi ja suurt osa pilveinfrastruktuurist, millest ettevõtted ja avaliku sektori organisatsioonid sõltuvad.
See oht paistab silma, kuna see tabab otse tänapäevase infrastruktuuri südant.: juurutatud Linuxi serverid Amazon Web Services'is (AWS) Google Cloud Platform (GCP), Microsoft Azure ja teised suured pakkujad. Kuigi enamik pahatahtlikke kampaaniaid on ajalooliselt keskendunud WindowsVoidLink tähistab murettekitavat suundumust pilvepõhiste keskkondade ja süsteemide suunas, mis hoiavad pangad, haldusasutused, haiglad ja igasugused veebiplatvormid töös.
Mis on VoidLink ja miks see nii palju muret tekitab?
VoidLink on modulaarne, pilvepõhine pahavara raamistik, mis on loodud Linuxile.Selle pahatahtliku tööriistakomplekti avastas ja analüüsis Check Pointi uurimismeeskond, mis on Check Point Software Technologiesi ohuluure osakond. Teadlased tuvastasid selle tööriistakomplekti, uurides pahavara näidiseid, mis on salvestatud [veebisaidi/platvormi nimi puudub]. andmebaasidJa nad said peagi aru, et nad ei tegelenud lihtsalt ükskõik millise koodiga.
Ühe kindlate funktsioonidega programmi asemel töötab VoidLink tervikliku ökosüsteemina. komponente, mida saab iga eesmärgi saavutamiseks kombineerida. Raamistik sisaldab enam kui 30 erinevat moodulit, millel kõigil on spetsiifilised võimalused: alates luurest ja teabe kogumisest kuni privileegide eskaleerimiseni, võrgus külgliikumiseni ja täiustatud vargustehnikateni.
Mis on tõeliselt häiriv, on disainifilosoofia. Selle pahavara taga peitub: see on loodud pakkuma vaikset ja püsivat pikaajalist juurdepääsu avalikes pilvedes ja konteinerkeskkondades töötavatele Linuxi süsteemidele. See ei ole loodud kiireks ja lärmakaks rünnakuks, vaid pigem selleks, et jääda varjatuks, luurata, ringi liikuda ja hankida olulist teavet ilma kahtlust tekitamata.
Check Pointi analüütikud juhivad tähelepanu sellele, et planeerimise, investeeringute ja koodi kvaliteedi tase See meenutab professionaalsete ohutegelaste tööd, mis on seotud küberspionaažikampaaniate ja kõrgelt struktureeritud operatsioonidega. Tegelikult on raamistik endiselt aktiivses arendusjärgus, mis tähendab, et selle võimekust jätkatakse laienemist ja täiustamist. aeg.
Kuigi seni pole VoidLinki abil massilisi nakatumiskampaaniaid dokumenteeritudSelle disain viitab sellele, et see on praktiliselt valmis reaalsetes operatsioonides kasutamiseks. Paljud eksperdid nõustuvad, et kui sellise kaliibriga tööriist laboritesse ilmub, on tavaliselt vaid aja küsimus, enne kui seda hakatakse sihipärastes rünnakutes kasutama.
Pilve- ja Linuxi infrastruktuuri jaoks loodud pahavara
VoidLink kujutab endast selget nihet ründajate traditsioonilisest fookusestSee hülgab klassikalise sihtmärgi, milleks on Windowsi lauaarvutid, ja keskendub otse interneti ja pilveteenuste aluseks olevale infrastruktuurikihile. Linux on enamiku veebiserverite, andmebaaside, mikroteenuste platvormide ja Kubernetes klastrite alus, seega võib iga oht, mis on suunatud just sellele keskkonnale, avaldada tohutut mõju.
Raamistik on algusest peale loodud pilvepõhiste tehnoloogiatega koos eksisteerimaVoidLink suudab tuvastada, kas see töötab konteinerkeskkondades nagu Docker või orkestraatorites nagu Kubernetes, ja kohandada oma käitumist vastavalt. See võimaldab tal sujuvalt integreeruda kaasaegsetesse arhitektuuridesse, kasutades ära nende keskkondade keerukust ja dünaamilisust, et sulanduda tõhusamalt.
Üks VoidLinki silmatorkavamaid omadusi on võime tuvastada pilveteenuse pakkuja. kus nakatunud masin asub. Pahavara pärib süsteemi metaandmeid teenusepakkuja (nt AWS, GCP, Azure, Alibaba Cloud või Tencent Cloud) avaldatud API-de kaudu ja kohandab oma rünnakustrateegiat tuvastatu põhjal.
Teadlased on leidnud ka tõendeid selle kohta, et raamistiku arendajad plaanivad seda tuge veelgi laiendada.spetsiifiliste tuvastusmeetodite lisamine teiste teenuste jaoks, näiteks Huawei Pilv, DigitalOcean või Vultr. See tugev pilveorientatsioon näitab selgelt, et VoidLink loodi stsenaariumi silmas pidades, kus peaaegu kogu organisatsiooni äritegevus toimub väljaspool selle enda rajatisi.
Praktikas räägime tööriistast, mis on loodud pilveinfrastruktuuri muutmiseks rünnakupinnaks.Selle asemel, et piirduda ühe serveri kahjustamisega, saab pahavara seda esimest sisenemispunkti kasutada hüppelauana kogu sisevõrgu uurimiseks, teiste haavatavate teenuste tuvastamiseks ja oma kohaloleku salaja laiendamiseks.
VoidLinki modulaarne arhitektuur ja täiustatud võimalused
VoidLinki süda on selle modulaarne arhitektuurKõikide funktsioonide ühte binaarfaili laadimise asemel pakub raamistik enam kui 30 sõltumatut moodulit, mida saab ründajate vajaduste järgi konkreetse kampaania ajal aktiveerida, deaktiveerida, lisada või eemaldada.
See "Šveitsi armee nuga" lähenemine võimaldab pahavara võimekust maksimaalselt kohandada.Operaator saab esmalt keskenduda infrastruktuuri luurele, hiljem aktiveerida volituste kogumise funktsioonid ja võimaluste tuvastamisel käivitada külgliikumisele või privileegide eskaleerimisele pühendatud moodulid. Kõik see toimub paindlikult ja konfiguratsiooni saab lennult muuta.
Moodulid hõlmavad laia valikut ülesandeidsüsteemi üksikasjalikust inventuurist (riistvara(tarkvara, töötavad teenused, protsessid, võrguühendus) kuni masinas olevate turvatööriistade tuvastamiseni, mis aitab pahavaral otsustada, kuidas käituda, et avastamist vältida.
Üks tundlikumaid elemente on volituste ja saladuste haldamine.VoidLink sisaldab komponente, mis on võimelised võtmeid koguma. SSH süsteemi salvestatud, brauserite salvestatud paroolid, seansiküpsised, autentimismärgidAPI-võtmed ja muud andmed, mis võimaldavad juurdepääsu sisemistele ja välistele teenustele ilma uute haavatavuste ärakasutamiseta.
Lisaks sisaldab raamistik rootkit-tüüpi funktsiooneNeed tehnikad on loodud pahavaraga seotud protsesside, failide ja ühenduste peitmiseks tavapärase süsteemitegevuse sees. See võimaldab sellel jääda aktiivseks pikemaks ajaks, ilma et turvalahendused või administraatorid seda kergesti avastaksid.
VoidLink mitte ainult ei luura, vaid hõlbustab ka külgmist liikumist ohustatud võrgus.Kui see on serverisse jõudnud, saab see skannida sisemisi ressursse, otsida teisi ligipääsetavaid masinaid, kontrollida õigusi ja kasutada varastatud volitusi, et laiendada ohtu rohkematele sõlmedele, eriti keskkondades, kus on mitu omavahel ühendatud Linuxi eksemplari.
Arenev ökosüsteem koos pahatahtlikele arendajatele mõeldud API-dega
Teine aspekt, mis analüütikutele külmavärinaid tekitab, on see, et VoidLink ei esitle end mitte ainult pahavarana, vaid ka tõeliselt laiendatava raamistikuna.Avastatud kood sisaldab arendus-API-d, mis konfigureeritakse nakatunud arvutites pahavara initsialiseerimise ajal ja mis on loodud selleks, et hõlbustada uute moodulite loomist või täiendavate komponentide integreerimist autorite või teiste ohutegelaste poolt.
See API võimaldab raamistikul kiiresti arenedakohanemine uute keskkondade, kaitsvate tuvastustehnikate või konkreetsete operatiivsete vajadustega. Kui kaitsjad hakkavad teatud käitumismustrit blokeerima, saavad ründajad konkreetseid mooduleid muuta või asendada ilma kogu pahavara nullist ümber kirjutamata.
Check Pointi teadlased rõhutavad, et selle disaini keerukusaste ei ole amatöörrühmadele tüüpiline.Kõik viitab pikaajaliselt planeeritud projektile, millel on head ressursid ja selge tegevuskava – midagi, mis sobib küberspionaažiorganisatsioonidele või tugevate tehniliste võimalustega edasijõudnud organiseeritud kuritegelikele rühmitustele.
Koodis leiduvad vihjed viitavad Hiinaga seotud arendajatele.Nagu seda tüüpi analüüsi puhul sageli, on autorluse ühemõtteline omistamine konkreetsele riiklikule osalejale või rühmale keeruline ja seda ei saa pidada ainuüksi nende vihjete põhjal lõplikuks. Sellest hoolimata on potentsiaalsete sihtmärkide tüüp (kriitiline infrastruktuur, pilveteenused, kõrge väärtusega keskkonnad) kooskõlas ulatuslike spionaaži- ja jälitusoperatsioonidega.
Tasub rõhutada, et olemasolevate andmete kohaselt puuduvad endiselt avalikud tõendid VoidLinki kasutavate aktiivsete massikampaaniate kohta.Tööriistakomplekt on tuvastatud ja uuritud selle elutsükli suhteliselt varases etapis, mis annab kaitsjatele ja turvalahenduste pakkujatele võimaluse töötada enne selle laialdast kasutuselevõttu välja tuvastusreeglid, kompromiteerimise näitajad ja leevendusstrateegiad.
Võimalik mõju ettevõtetele, valitsustele ja kriitilistele teenustele
VoidLinki tegelik oht ei piirdu ainult konkreetse serveriga, mida see nakatada suudab.Kuna see on suunatud pilvekeskkondadele ja Linuxi infrastruktuuridele, mis toimivad elutähtsate teenuste selgroona, hõlmab potentsiaalne mõju terveid omavahel ühendatud süsteemide võrgustikke nii era- kui ka avalikus sektoris.
Tänapäeval haldab suur osa ettevõtteid oma äri peaaegu täielikult pilves.Alates idufirmadest, mis ehitavad oma rakendusi konteineritele, kuni pankade, haiglate ja valitsusasutusteni, mis juurutavad oma kriitilisi platvorme AWS-is, GCP-s, Azure'is või muudel suurematel pakkujatel – Linuxi serveriklastri paigutamine nendesse keskkondadesse tähendab tõhusat juurdepääsu tundlikele andmetele, missioonikriitilistele teenustele ja ülitundlikele sisemistele protsessidele.
VoidLink sobib selle stsenaariumiga ideaalselt.See suudab tuvastada, millisel pilveteenuse pakkujal see asub, määrata, kas see töötab tavapärasel virtuaalmasinal või konteineris, ja seejärel oma käitumist kohandada, et saada maksimaalset kasu ilma häireid tekitamata. Ründaja vaatenurgast on see väga paindlik tööriist keerukates infrastruktuurides navigeerimiseks.
Toimingute hulka, mida see saab teha, kuuluvad sisevõrgu jälgimine ja teabe kogumine teiste ligipääsetavate süsteemide kohta.Selle kombineerimine volituste ja saladuste kogumise võimalusega võib viia ohtude ahelateni, mis liiguvad teenusest teenusesse, serverist serverisse, hõlmates lõpuks märkimisväärse osa organisatsiooni infrastruktuurist.
Lisaks on VoidLink pikaajalisele püsivusele keskendudes eriti atraktiivne spionaažioperatsioonide jaoks.Andmete krüpteerimise ja lunaraha nõudmise asemel (näiteks traditsiooniline lunavara) sobib seda tüüpi raamistik kõige paremini kampaaniate jaoks, mille eesmärk on hankida strateegilist teavet, jälgida kommunikatsiooni, hankida teavet konfidentsiaalsetest andmebaasidest või manipuleerida süsteemidega valikuliselt ilma, et seda kuude või isegi aastate jooksul avastataks.
Kuidas VoidLink pilve- ja Linuxi keskkondades töötab
VoidLinki käitumine pärast Linuxi süsteemi nakatamist järgib üsna loogilist järjestust, mille eesmärk on müra minimeerimine.Pärast esmakordset käivitamist initsialiseerib pahavara oma keskkonna, konfigureerib sisemise API ja laadib luurefaasiks vajalikud moodulid.
Selles algstaadiumis keskendub raamistik võimalikult suure teabe kogumisele. ohustatud süsteemi kohta: kasutatav Linuxi distributsioon, kerneli versioon, töötavad teenused, avatud pordid, installitud turvatarkvara, saadaolevad võrguühendused ja muud andmed, mis võivad ründajatel aidata keskkonnast üksikasjalikku kaarti luua.
Paralleelselt uurib VoidLink pilveteenuse pakkuja esitatud metaandmeid.Platvormipõhiste API-de abil teeb süsteem kindlaks, kas masin on AWS-i, GCP-i, Azure'i, Alibaba, Tencenti või muude teenuste peal, millele on tulevikus tuge plaanitud. See tuvastus määrab, millised moodulid on aktiveeritud ja milliseid tehnikaid kasutatakse õiguste teisaldamiseks või laiendamiseks.
Kui raamistikul on keskkonnast selge pilt, saab see aktiveerida õiguste eskaleerimise mooduleid. minna väheste õigustega kasutajalt kasutajale, kellel on peaaegu täielik kontroll süsteemi üle, kasutades ära nõrku konfiguratsioone, halvasti hallatud volitusi või keskkonnaspetsiifilisi haavatavusi.
Kõrgendatud õigustega rakendab VoidLink oma külgliikumise võimalusiSee hõlmab sisevõrgu uurimist, ühenduse loomise katseid teiste Linuxi süsteemide või kriitiliste teenustega ning varastatud mandaatide kasutamist uutele masinatele juurdepääsuks. Kõik see toimub samal ajal, kui varjatud ja rootkit-tüüpi moodulid töötavad selle nimel, et varjata pahatahtlikku tegevust legitiimsete protsesside vahel.
Selle protsessi vältel hoiab raamistik diskreetset suhtlust ründajate juhtimis- ja kontrollinfrastruktuuriga.juhiste saamine selle kohta, milliseid mooduleid aktiveerida, millist teavet prioriseerida ja milliseid samme järgida. Modulaarne olemus võimaldab isegi uute komponentide lisamist lennult, et kohandada operatsiooni keskkonna või kaitsemeetmete muutustega, millega võidakse kokku puutuda.
Miks VoidLink näitab fookuse nihkumist Linuxi poole?
Aastaid on domineeriv narratiiv küberjulgeolek on keerelnud Windowsi ümbereriti lõppkasutajatele suunatud lunavara ja pahavara valdkonnas. VoidLinki avastamine kinnitab aga trendi, mida paljud eksperdid on juba ammu ette näinud: ründajate kasvav huvi Linuxi ja ennekõike sellel operatsioonisüsteemil põhinevate pilvepõhiste keskkondade vastu.
Linux on aluseks suurele osale internetist, rakendusserveritest ja pilveinfrastruktuurist.Siiski on see traditsiooniliselt kogenud vähemat survet massiliste pahavararünnakute poolt võrreldes Windowsiga. See ei tähenda, et see oleks olnud haavamatu, vaid pigem seda, et ründajad on keskendunud rohkem mahule (lauaarvutite kasutajad) kui sihtmärkide kvaliteedile või väärtusele.
Pilve kui organisatsioonide peamise äriplatvormi konsolideerumisega on Linuxi kui kõrge väärtusega sihtmärgi atraktiivsus hüppeliselt kasvanud.VoidLink sobib sellesse uude stsenaariumisse ideaalselt: see on loodud töötama klastrites, konteinerites, tootmisserverites ja keskkondades, kus käideldavad andmed ja teenused on töö järjepidevuse tagamiseks kriitilise tähtsusega.
Asjaolu, et selline terviklik raamistik just praegu ilmub, näitab, et ohutegelased laiendavad selgelt oma fookust.mitte ainult isoleeritud Linuxi süsteemide ründamiseks, vaid ka nende masinate kasutamiseks väravana tervetele infrastruktuuridele ja mitme üürnikuga pilveplatvormidele, kus eksisteerivad koos paljude organisatsioonide andmed.
Selles kontekstis ei saa turvahaldurid Linuxit enam kaitse seisukohast "teisese" keskkonnana vaadata.Vastupidi, nad peavad eeldama, et sellest on saamas üks tänapäevase küberturvalisuse peamisi lahinguvälju ning et sellised ohud nagu VoidLink muutuvad üha sagedasemaks ja keerukamaks.
Peamised meetmed Linuxi süsteemide kaitsmiseks VoidLinki eest
Kuigi VoidLink on keeruline oht, pakub selle käitumine mitmeid kasulikke vihjeid. See aitab süsteemiadministraatoritel ja turvameeskondadel oma kaitset tugevdada. See ei ole imerohi, vaid pigem praktikate kogum, mis vähendab oluliselt sellise raamistiku eduvõimalusi.
Üks esimesi kaitseliine on avatud API-de ja teenuste auditeerimine.Kuna VoidLink tugineb pilveteenuse pakkujate pakutavatele metaandmetele ja haldusliidestele, on oluline üle vaadata, millised lõpp-punktid, kust ja milliste lubadega on ligipääsetavad. Tarbetu juurdepääsu piiramine ja rangete kontrollide rakendamine võib pahavara tuvastamise etappi keerulisemaks muuta.
Volituste tugevdamine on veel üks oluline osa.Nõrgad, taaskasutatud või kaitsmata paroolid on iga ründaja jaoks kingitus. Tugevate paroolipoliitikate rakendamine, võimaluse korral mitmefaktorilise autentimise kasutamine ning SSH-võtmete, -tokenite ja API-võtmete nõuetekohane haldamine vähendab VoidLinki volituste kogumise moodulite väärtust.
Pilvekeskkondade pidev jälgimine on sama olulineOrganisatsioonid peavad pidama üksikasjalikke tegevuslogisid, anomaalse käitumise hoiatusi ja tööriistu, mis suudavad korreleerida sündmusi eri teenuste ja serverite vahel. Raamistik, mille eesmärk on pikka aega avastamata jääda, muutub palju haavatavamaks, kui tegevust on hästi näha ja ennetavalt analüüsitud.
Lõpuks on ülioluline rakendada nii kasutajatele kui ka konteineritele rangeid lubade piiranguid.Normiks peaks olema vähima privileegi põhimõte: igal kasutajal, teenusel või konteineril peaksid olema ainult tema funktsiooni jaoks hädavajalikud õigused. Kui VoidLink seab ohtu isegi väga piiratud hulga õigusi, väheneb selle manööverdamisruum drastiliselt.
Lisaks neile meetmetele tasub tugevdada ka teisi üldisi turvapraktikaid., näiteks operatsioonisüsteemi ja rakenduste paranduste regulaarne hooldus, võrgu segmenteerimine, et vältida ohtu kontrollimatut levikut, ning spetsiaalselt Linuxi ja pilvekeskkondade jaoks loodud turvalahenduste kasutamine, mis integreerivad käitumispõhist tuvastamist.
VoidLink on selge märk sellest, kuhu kõige arenenum pahavara liigub.Sihtides otseselt Linuxit ja peamisi pilveplatvorme, sunnib see raamistik organisatsioone oma kriitilise infrastruktuuri kaitsmist väga tõsiselt võtma, minnes kaugemale traditsioonilistest kasutajaseadmetest. Mida varem selles valdkonnas kaitset tugevdatakse, seda vähem on ründajatel ruumi, kui sellised tööriistad reaalsetes kampaaniates kasutusele võetakse.
Kirglik kirjanik baitide maailmast ja üldse tehnoloogiast. Mulle meeldib jagada oma teadmisi kirjutamise kaudu ja just seda ma selles ajaveebis teengi, näitan teile kõike kõige huvitavamat vidinate, tarkvara, riistvara, tehnoloogiliste suundumuste ja muu kohta. Minu eesmärk on aidata teil digimaailmas lihtsal ja meelelahutuslikul viisil navigeerida.