- VoidLink ir ietvars priekš malware modulārs un uzlabots priekš Linux, kura mērķis ir panākt pastāvīgu un nemanāmu piekļuvi mākoņdatošanas vidēs.
- Ļaunprogrammatūra atpazīst tādus pakalpojumu sniedzējus kā AWS, GCP vai Azure, izmantojot to metadatu API, un pielāgo savu darbību videi neatkarīgi no tā, vai tie ir konteineri vai klasteri.
- Tā vairāk nekā 30 moduļi nodrošina izlūkošanu, privilēģiju eskalāciju, sānu pārvietošanos, akreditācijas datu zādzību un rootkit tipa funkcijas.
- Akreditācijas datu stiprināšana, atklāto API auditēšana, mākoņa uzraudzība un vismazāko privilēģiju piemērošana ir galvenie faktori, lai mazinātu VoidLink radīto risku.
VoidLink ir kļuvis par vienu no nosaukumiem, kas rada vislielāko troksni. pasaulē Linux kiberdrošība un mākonī. Mums nav darīšana ar vienkāršu kaitinošu vīrusu, bet gan ar ļoti progresīvu ļaunprogrammatūras ietvaru, kas paredzēts, lai iekļūtu Linux serveros, kas atbalsta kritiski svarīgus pakalpojumus, konteinerizētas lietojumprogrammas un lielu daļu mākoņinfrastruktūras, no kuras ir atkarīgi uzņēmumi un publiskās organizācijas.
Šis drauds izceļas ar to, ka tas skar tieši mūsdienu infrastruktūras sirdi.: izvietoti Linux serveri vietnē Amazon Web Services (AWS), google Cloud Platform (GCP), Microsoft Azure un citi lielākie pakalpojumu sniedzēji. Lai gan lielākā daļa ļaunprātīgo kampaņu vēsturiski ir bijušas vērstas uz WindowsVoidLink iezīmē satraucošu tendenci pāriet uz mākoņdatošanas vidēm un sistēmām, kas nodrošina banku, administrāciju, slimnīcu un visu veidu tiešsaistes platformu darbību.
Kas ir VoidLink un kāpēc tas rada tik lielas bažas?
VoidLink ir modulāra, mākonī bāzēta ļaunprogrammatūras sistēma, kas paredzēta operētājsistēmai Linux.Šo ļaunprātīgo rīkkopu atklāja un analizēja Check Point Research komanda, kas ir Check Point Software Technologies apdraudējumu izlūkošanas nodaļa. Pētnieki identificēja šo rīkkopu, pārskatot ļaunprogrammatūras paraugus, kas glabājas vietnē [trūkst tīmekļa vietnes/platformas nosaukuma]. datu bāzesUn viņi drīz vien saprata, ka viņiem nav darīšana ar jebkuru kodu.
VoidLink darbojas kā pilnīga ekosistēma, nevis kā viena programma ar fiksētām funkcijām. komponentu, kurus var kombinēt, lai atbilstu katram mērķim. Sistēma ietver vairāk nekā 30 atšķirīgus moduļus, katram no kuriem ir specifiskas iespējas: sākot no izlūkošanas un informācijas vākšanas līdz privilēģiju eskalācijai, sānu pārvietošanai tīklā un progresīvām slēpšanas metodēm.
Kas patiesi satrauc, ir dizaina filozofija. Kas slēpjas aiz šīs ļaunprogrammatūras: tā ir izstrādāta, lai nodrošinātu klusu un pastāvīgu ilgtermiņa piekļuvi Linux sistēmām, kas darbojas publiskos mākoņos un konteineru vidēs. Tā nav paredzēta ātram un trokšņainam uzbrukumam, bet gan tam, lai paliktu paslēpta, izspiegotu, pārvietotos un iegūtu kritisku informāciju, neradot aizdomas.
Check Point analītiķi norāda, ka plānošanas, investīciju un koda kvalitātes līmenis Tas atgādina profesionālu apdraudējumu izpildītāju darbu, kas saistīts ar kiberizlūkošanas kampaņām un ļoti strukturētām operācijām. Patiesībā sistēma joprojām tiek aktīvi izstrādāta, kas nozīmē, ka tās iespējas turpinās paplašināties un tikt pilnveidotas. el tiempo.
Lai gan līdz šim nav dokumentētas masveida inficēšanās kampaņas, izmantojot VoidLinkTā dizains liecina, ka tas ir praktiski gatavs izvietošanai reālās operācijās. Daudzi eksperti piekrīt, ka, kad šāda kalibra rīks parādās laboratorijās, parasti ir tikai laika jautājums, pirms to sāks izmantot mērķtiecīgos uzbrukumos.
Ļaunprogrammatūra, kas paredzēta mākoņdatošanas un Linux infrastruktūrai
VoidLink ir skaidra pāreja no uzbrucēju tradicionālās uzmanības loka.Tas atsakās no klasiskā mērķa — Windows galddatoriem — un koncentrējas tieši uz infrastruktūras slāni, kas ir interneta un mākoņpakalpojumu pamatā. Linux ir vairuma tīmekļa serveru, datubāzu, mikropakalpojumu platformu un Kubernetes klasteru pamats, tāpēc jebkurš drauds, kas īpaši vērsts pret šo vidi, var radīt milzīgu ietekmi.
Šis ietvars jau no paša sākuma ir izstrādāts tā, lai tas pastāvētu līdzās mākoņtehnoloģijām.VoidLink spēj atpazīt, vai tas darbojas konteineru vidēs, piemēram, Docker, vai orķestratoru vidēs, piemēram, Kubernetes, un attiecīgi pielāgot savu darbību. Tas ļauj tam nemanāmi integrēties mūsdienu arhitektūrās, izmantojot šo vides sarežģītību un dinamiku, lai efektīvāk iekļautos tajās.
Viena no VoidLink pārsteidzošākajām funkcijām ir spēja identificēt mākoņpakalpojumu sniedzēju. kur atrodas apdraudētā iekārta. Ļaunprogrammatūra vaicā sistēmas metadatus, izmantojot pakalpojumu sniedzēja (piemēram, AWS, GCP, Azure, Alibaba Cloud vai Tencent Cloud) atklātās API, un, pamatojoties uz atklāto, pielāgo savu uzbrukuma stratēģiju.
Pētnieki ir arī atraduši pierādījumus tam, ka sistēmas izstrādātāji plāno vēl vairāk paplašināt šo atbalstu.iekļaujot īpašus noteikšanas mehānismus citiem pakalpojumiem, piemēram, Huawei Mākonis, DigitalOcean vai Vultr. Šī spēcīgā orientācija uz mākoņpakalpojumiem skaidri norāda, ka VoidLink tika izveidots, ņemot vērā scenāriju, kurā gandrīz visa organizācijas darbība tiek veikta ārpus tās telpām.
Praksē mēs runājam par rīku, kas paredzēts mākoņinfrastruktūras pārvēršanai par uzbrukuma virsmu.Tā vietā, lai ierobežotu sevi ar viena servera apdraudēšanu, ļaunprogrammatūra var izmantot šo pirmo ieejas punktu kā atspēriena punktu, lai izpētītu visu iekšējo tīklu, identificētu citus neaizsargātus pakalpojumus un slepeni paplašinātu savu klātbūtni.
VoidLink modulārā arhitektūra un uzlabotās iespējas
VoidLink sirds ir tā modulārā arhitektūraTā vietā, lai visas funkcijas ielādētu vienā binārajā failā, ietvars piedāvā vairāk nekā 30 neatkarīgus moduļus, kurus var aktivizēt, deaktivizēt, pievienot vai noņemt atkarībā no uzbrucēju vajadzībām konkrētas kampaņas laikā.
Šī "Šveices armijas naža" pieeja ļauj maksimāli pielāgot ļaunprogrammatūras iespējas.Operators vispirms var koncentrēties uz infrastruktūras izlūkošanu, vēlāk aktivizēt akreditācijas datu vākšanas funkcijas un, ja tiek atklātas iespējas, iedarbināt moduļus, kas paredzēti sānu kustībai vai privilēģiju eskalācijai. Tas viss tiek darīts elastīgi un ar iespēju mainīt konfigurāciju acumirklī.
Moduļi aptver plašu uzdevumu klāstuno detalizētas sistēmas inventāra uzskaites (detaļas(programmatūra, darbojošie pakalpojumi, procesi, tīkla savienojamība) līdz ierīcē esošo drošības rīku identificēšanai, kas palīdz ļaunprogrammatūrai izlemt, kā rīkoties, lai izvairītos no atklāšanas.
Viens no jutīgākajiem elementiem ir akreditācijas datu un noslēpumu pārvaldība.VoidLink ietver komponentus, kas spēj apkopot atslēgas. SSH sistēmā saglabātās paroles, pārlūkprogrammu saglabātās paroles, sesijas sīkfaili, autentifikācijas žetoniAPI atslēgas un citi dati, kas ļauj piekļūt iekšējiem un ārējiem pakalpojumiem, neizmantojot jaunas ievainojamības.
Turklāt ietvars ietver rootkit tipa funkcionalitāti.Šīs metodes ir paredzētas, lai paslēptu ar ļaunprogrammatūru saistītos procesus, failus un savienojumus parastajā sistēmas darbībā. Tas ļauj tai ilgstoši palikt aktīvai, un drošības risinājumi vai administratori to nevar viegli atklāt.
VoidLink ne tikai izspiego, bet arī atvieglo sānu pārvietošanos apdraudētajā tīklā.Nonākot serverī, tas var skenēt iekšējos resursus, meklēt citas pieejamas iekārtas, pārbaudīt atļaujas un izmantot nozagtus akreditācijas datus, lai paplašinātu kompromitāciju uz vairākiem mezgliem, īpaši vidēs, kur pastāv vairākas savstarpēji savienotas Linux instances.
Attīstības ekosistēma ar ļaunprātīgiem izstrādātājiem paredzētām API
Vēl viens aspekts, kas analītiķiem liek drebuļiem dzīt muguru, ir tas, ka VoidLink sevi parāda ne tikai kā ļaunprogrammatūru, bet arī kā patiesi paplašināmu ietvaru.Atklātajā kodā ir iekļauta izstrādes API, kas tiek konfigurēta ļaunprogrammatūras inicializācijas laikā inficētos datoros, un tā ir paredzēta, lai atvieglotu jaunu moduļu izveidi vai papildu komponentu integrāciju, ko veic to autori vai citi apdraudējumu dalībnieki.
Šis API ļauj sistēmai strauji attīstīties.pielāgojoties jaunai videi, aizsardzības noteikšanas metodēm vai īpašām operacionālām vajadzībām. Ja aizstāvji sāk bloķēt noteiktu uzvedības modeli, uzbrucēji var modificēt vai aizstāt konkrētus moduļus, nepārrakstot visu ļaunprogrammatūru no jauna.
Check Point pētnieki uzsver, ka šī dizaina izsmalcinātības līmenis nav raksturīgs amatieru grupām.Viss norāda uz ilgtermiņa plānotu projektu, labi nodrošinātu ar resursiem un skaidru rīcības plānu, kas atbilst kiberizlūkošanas organizācijām vai progresīvām organizētās noziedzības grupām ar spēcīgām tehniskām iespējām.
Kodā atrastās norādes norāda uz izstrādātājiem, kas saistīti ar Ķīnu.Tomēr, kā tas bieži notiek šāda veida analīzē, nepārprotama autorības piedēvēšana konkrētam valsts dalībniekam vai grupai ir sarežģīta un to nevar uzskatīt par noslēgtu, pamatojoties tikai uz šīm norādēm. Neskatoties uz to, potenciālo mērķu veids (kritiskā infrastruktūra, mākoņpakalpojumi, augstas vērtības vides) atbilst liela mēroga spiegošanas un novērošanas operācijām.
Ir vērts uzsvērt, ka saskaņā ar pieejamajiem datiem joprojām nav publisku pierādījumu par aktīvām masveida kampaņām, izmantojot VoidLink.Rīkkopa ir identificēta un pētīta relatīvi agrīnā tās dzīves cikla posmā, kas sniedz iespēju aizstāvjiem un drošības risinājumu pārdevējiem izstrādāt noteikšanas noteikumus, kompromitēšanas indikatorus un mazināšanas stratēģijas, pirms tā tiek plaši ieviesta.
Iespējamā ietekme uz uzņēmumiem, valdībām un kritiski svarīgiem pakalpojumiem
VoidLink patiesās briesmas neaprobežojas tikai ar konkrēto serveri, kuru tam izdodas inficēt.Tā kā tā ir orientēta uz mākoņvidēm un Linux infrastruktūrām, kas darbojas kā svarīgu pakalpojumu mugurkauls, potenciālā ietekme aptver veselus savstarpēji savienotu sistēmu tīklus gan privātajā, gan publiskajā sektorā.
Mūsdienās liela daļa uzņēmumu gandrīz pilnībā pārvalda savu biznesu mākonī.No jaunuzņēmumiem, kas veido savas lietojumprogrammas konteineros, līdz bankām, slimnīcām un valdības iestādēm, kas izvieto savas kritiskās platformas AWS, GCP, Azure vai citu lielu pakalpojumu sniedzēju platformās, Linux serveru klastera nodrošināšana šajās vidēs efektīvi nozīmē piekļuvi sensitīviem datiem, misijai kritiski svarīgiem pakalpojumiem un ļoti sensitīviem iekšējiem procesiem.
VoidLink ir pilnībā pielāgots šim scenārijam.Tas var noteikt, pie kura mākoņpakalpojumu sniedzēja tas tiek mitināts, noteikt, vai tas darbojas parastā virtuālajā mašīnā vai konteinerā, un pēc tam pielāgot savu darbību, lai iegūtu maksimālu labumu, neradot trauksmes signālus. No uzbrucēja viedokļa tas ir ļoti elastīgs rīks sarežģītu infrastruktūru navigācijai.
Starp darbībām, ko tā var veikt, ir iekšējā tīkla uzraudzība un informācijas vākšana par citām pieejamām sistēmām.Apvienojot to ar iespēju apkopot akreditācijas datus un slepenos datus, var rasties apdraudējuma ķēdes, kas izplatās no pakalpojuma uz pakalpojumu, no servera uz serveri, galu galā aptverot ievērojamu organizācijas infrastruktūras daļu.
Turklāt, koncentrējoties uz ilgtermiņa noturību, VoidLink ir īpaši pievilcīgs spiegošanas operācijām.Tā vietā, lai šifrētu datus un pieprasītu izpirkuma maksu (kā tradicionālā izspiedējvīrusa), šāda veida sistēma ir vispiemērotākā kampaņām, kuru mērķis ir iegūt stratēģisku informāciju, uzraudzīt komunikāciju, iegūt konfidenciālas datubāzes vai selektīvi manipulēt ar sistēmām, netiekot atklātām mēnešiem vai pat gadiem ilgi.
Kā VoidLink darbojas mākoņa un Linux vidēs
Pēc Linux sistēmas inficēšanas VoidLink uzvedība atbilst diezgan loģiskai secībai, kuras mērķis ir samazināt troksni.Pēc pirmās palaišanas ļaunprogrammatūra inicializē savu vidi, konfigurē iekšējo API un ielādē moduļus, kas nepieciešami izlūkošanas fāzei.
Šajā sākotnējā posmā sistēma koncentrējas uz pēc iespējas lielākas informācijas apkopošanu. par apdraudēto sistēmu: izmantotā Linux distributīvā versija, kodola versija, palaistie pakalpojumi, atvērtie porti, instalētā drošības programmatūra, pieejamie tīkla ceļi un jebkādi citi dati, kas varētu palīdzēt uzbrucējiem izveidot detalizētu vides karti.
Paralēli VoidLink pārbauda mākoņpakalpojumu sniedzēja sniegtos metadatus.Izmantojot platformai specifiskus API, sistēma nosaka, vai iekārta izmanto AWS, GCP, Azure, Alibaba, Tencent vai citus pakalpojumus, kuriem ir plānots atbalsts nākotnē. Šī noteikšana nosaka, kuri moduļi ir aktivizēti un kādas metodes tiek izmantotas privilēģiju pārvietošanai vai eskalēšanai.
Kad sistēmai ir skaidrs priekšstats par vidi, tā var aktivizēt atļauju eskalācijas moduļus. pāriet no lietotāja ar nelielām privilēģijām uz tādu, kam ir gandrīz pilnīga sistēmas kontrole, izmantojot vājas konfigurācijas, slikti pārvaldītus akreditācijas datus vai videi raksturīgas ievainojamības.
Ar paaugstinātām privilēģijām VoidLink izmanto savas sānu kustības iespējasTas ietver iekšējā tīkla izpēti, mēģinājumus izveidot savienojumus ar citām Linux sistēmām vai kritiski svarīgiem pakalpojumiem un zagtu akreditācijas datu izmantošanu, lai piekļūtu jaunām iekārtām. Tas viss notiek, kamēr slepeni un rootkit līdzīgi moduļi darbojas, lai slēptu ļaunprātīgo darbību starp likumīgiem procesiem.
Visā šajā procesā sistēma uztur diskrētu saziņu ar uzbrucēju vadības un kontroles infrastruktūru.saņemot norādījumus par to, kurus moduļus aktivizēt, kādai informācijai piešķirt prioritāti un kādi soļi jāveic. Modulārā daba pat ļauj ieviest jaunus komponentus acumirklī, lai pielāgotu operāciju vides vai aizsardzības izmaiņām, ar kurām var saskarties.
Kāpēc VoidLink demonstrē uzmanības pāreju uz Linux
Gadiem ilgi dominējošais naratīvs kiberdrošība ir griezies ap Windowsīpaši izspiedējvīrusu un ļaunprogrammatūras jomā, kas vērsta pret gala lietotājiem. Tomēr VoidLink atklāšana apstiprina tendenci, ko daudzi eksperti jau sen paredzēja: uzbrucēju pieaugošā interese par Linux un, galvenokārt, par mākoņdatošanas vidēm, kuru pamatā ir šī operētājsistēma.
Linux ir pamatā milzīgai daļai interneta, lietojumprogrammu serveru un mākoņinfrastruktūras.Tomēr tradicionāli tā ir saskārusies ar mazāku masveida ļaunprogrammatūras uzbrukumu spiedienu salīdzinājumā ar Windows. Tas nenozīmē, ka tā ir bijusi neievainojama, bet gan to, ka uzbrucēji vairāk ir koncentrējušies uz apjomu (datoru lietotājiem), nevis uz mērķu kvalitāti vai vērtību.
Līdz ar mākoņpakalpojumu konsolidāciju kā organizāciju uzņēmējdarbības galveno platformu, Linux kā augstas vērtības mērķa pievilcība ir strauji pieaugusi.VoidLink lieliski iederas šajā jaunajā scenārijā: tas ir paredzēts darbībai klasteros, konteineros, ražošanas serveros un vidēs, kur apstrādātie dati un pakalpojumi ir kritiski svarīgi darbības nepārtrauktībai.
Tas, ka šobrīd parādās šāds visaptverošs regulējums, liecina, ka apdraudējumu izraisītāji nepārprotami paplašina savu darbības jomu.ne tikai uzbrukt izolētām Linux sistēmām, bet arī izmantot šīs mašīnas kā vārtus uz veselām infrastruktūrām un daudznomnieku mākoņplatformām, kur līdzās pastāv dati no daudzām organizācijām.
Šajā kontekstā drošības pārvaldnieki vairs nevar uzskatīt Linux par “sekundāru” vidi aizsardzības ziņā.Gluži pretēji, viņiem jāpieņem, ka tā kļūst par vienu no galvenajiem mūsdienu kiberdrošības kaujas laukiem un ka tādi draudi kā VoidLink kļūs arvien biežāki un sarežģītāki.
Galvenie pasākumi Linux sistēmu aizsardzībai pret VoidLink
Lai gan VoidLink ir sarežģīts drauds, tā uzvedība sniedz vairākas noderīgas norādes. Tas ir paredzēts, lai palīdzētu sistēmu administratoriem un drošības komandām stiprināt savu aizsardzību. Tā nav brīnumlīdzeklis, bet gan virkne darbību, kas ievērojami samazina šādas sistēmas panākumu iespējas.
Viena no pirmajām aizsardzības līnijām ir atklāto API un pakalpojumu audits.Tā kā VoidLink paļaujas uz piekļuvi metadatiem un pārvaldības saskarnēm, ko nodrošina mākoņpakalpojumu sniedzēji, ir svarīgi pārskatīt, kuriem galapunktiem var piekļūt, no kurienes un ar kādām atļaujām. Nevajadzīgas piekļuves ierobežošana un stingras kontroles piemērošana var sarežģīt ļaunprogrammatūras atklāšanas fāzi.
Vēl viens svarīgs elements ir akreditācijas stiprināšana.Vājas, atkārtoti izmantotas vai neaizsargātas paroles ir dāvana jebkuram uzbrucējam. Spēcīgu paroļu politiku ieviešana, daudzfaktoru autentifikācijas izmantošana, kur iespējams, un SSH atslēgu, žetonu un API atslēgu pareiza pārvaldība samazina VoidLink akreditācijas datu vākšanas moduļu vērtību.
Tikpat svarīga ir nepārtraukta mākoņvides uzraudzībaOrganizācijām ir jāuztur detalizēti darbību žurnāli, brīdinājumi par anomālu uzvedību un rīki, kas spēj korelēt notikumus dažādos pakalpojumos un serveros. Sistēma, kuras mērķis ir ilgstoši palikt nepamanīta, kļūst daudz neaizsargātāka, ja ir laba darbību pārskatāmība un proaktīva analīze.
Visbeidzot, ir ļoti svarīgi piemērot stingrus atļauju ierobežojumus gan lietotājiem, gan konteineriem.Minimālo privilēģiju principam vajadzētu būt normai: katram lietotājam, pakalpojumam vai konteineram vajadzētu būt tikai tām atļaujām, kas ir būtiskas tā funkcijai. Ja VoidLink apdraud pat ļoti ierobežotu privilēģiju kopumu, tā manevrēšanas iespējas ievērojami samazinās.
Papildus šiem pasākumiem ir vērts pastiprināt arī citas vispārējās drošības prakses., piemēram, regulāra operētājsistēmas un lietojumprogrammu ielāpu apkope, tīkla segmentācija, lai novērstu kompromitēšanas nekontrolējamu izplatīšanos, un tādu drošības risinājumu izmantošana, kas īpaši izstrādāti Linux un mākoņvidēm un integrē uz uzvedību balstītu noteikšanu.
VoidLink ir skaidra zīme tam, kurp virzās vismodernākā ļaunprogrammatūra.Tieši vēršoties pret Linux un lielākajām mākoņplatformām, šis ietvars piespiež organizācijas ļoti nopietni uztvert savas kritiskās infrastruktūras aizsardzību, pārsniedzot tradicionālās lietotāju iekārtas. Jo ātrāk aizsardzība šajā jomā tiks nostiprināta, jo mazāk vietas uzbrucējiem būs, kad šādi rīki tiks izmantoti reālās pasaules kampaņās.
Kaislīgs rakstnieks par baitu pasauli un tehnoloģiju kopumā. Man patīk dalīties savās zināšanās rakstot, un tieši to es darīšu šajā emuārā, parādot visu interesantāko informāciju par sīkrīkiem, programmatūru, aparatūru, tehnoloģiju tendencēm un daudz ko citu. Mans mērķis ir palīdzēt jums vienkāršā un izklaidējošā veidā orientēties digitālajā pasaulē.