Linux作為最常見的云操作系統，是數字基礎架構的核心部分，也正在迅速成為攻擊者進入多云環境的入場券。目前的惡意軟件應對策略主要是解決基于Windows系統的威脅，這使得許多公有云和私有云部署很容易受到針對基于Linux工作負載的攻擊。

　　近日，全球領先的企業軟件創新者VMware(NYSE: VMW)發布威脅報告《揭露Linux多云環境中的惡意軟件》(1) ，其中詳細說明了網絡犯罪分子如何使用惡意軟件攻擊基于Linux操作系統。報告的主要發現包括：

　　? 勒索軟件正集中攻擊Linux虛機鏡像，這些虛機鏡像被用于在虛擬環境中生成工作負載

　　? 89%的加密劫持(cryptojacking)攻擊使用XMRig相關的庫

　　? 超半數的Cobalt Strike用戶可能是網絡犯罪分子，或是非法使用Cobalt Strike。

　　VMware威脅情報高級主管Giovanni Vigna表示：“網絡犯罪分子正大幅擴大攻擊范圍，他們將針對基于Linux操作系統的惡意軟件添加到工具包中，試圖以最小的成本發揮最大影響。網絡犯罪分子并非從感染端點入手，然后逐步轉向更高價值目標，而是入侵那些能給他帶來最大收益和訪問權限的單個服務器。攻擊者將公有云和私有云視為高價值目標，使得他們可以訪問關鍵基礎架構服務和機密數據。不幸的是，目前防御惡意軟件攻擊的策略仍主要集中在解決基于Windows的威脅上，這使得許多公有云和私有云部署容易受到基于Linux操作系統的攻擊?！?/p>

　　在急劇變化的威脅環境中，隨著針對基于 Linux操作系統的惡意軟件數量和復雜性不斷增加，組織機構必須更加重視威脅檢測。在這份報告中，VMware 威脅分析部門 (TAU) 分析了多云環境中基于 Linux操作系統的威脅：勒索軟件、加密礦工和遠程訪問工具。

　　勒索軟件以云為目標，試圖將損害最大化

　　作為企業機構數據泄露的主要原因之一，云環境中的勒索軟件攻擊能夠帶來災難性后果(2)。對于云部署的勒索軟件攻擊是有針對性的，且通常與數據泄露相結合，實施雙重勒索，以提高成功幾率。新的進展表明，勒索軟件正集中攻擊Linux虛機鏡像，這些虛機鏡像被用于在虛擬環境中生成工作負載。攻擊者現在正在尋找云環境中最有價值的資產，以對目標造成最大程度的損害。例如Defray777勒索軟件系列，其加密了ESXi服務器上的虛機鏡像。以及DarkSide勒索軟件系列，它破壞了Colonial Pipeline的網絡并導致了美國全國范圍內的汽油短缺。

　　加密劫持攻擊使用XMRig挖掘Monero

　　追求快速貨幣收益的網絡犯罪分子通常緊盯加密貨幣，通過在惡意軟件中加入竊取錢包的功能，或是利用被盜的CPU周期獲利，從而在稱為加密劫持的攻擊中成功挖掘加密貨幣。大多數加密劫持攻擊都集中在挖掘Monero貨幣(或XMR)，VMware威脅分析部門發現89%的加密礦工都在使用XMRig相關的庫。出于這個原因，當Linux二進制文件中的XMRig特定庫和模塊被識別時，它很可能是惡意加密行為的證據。VMware威脅分析部門還發現，防御規避是加密礦工最常用的技術。不幸的是，由于加密劫持攻擊不會像勒索軟件那樣完全破壞所在的云環境，因此它們更難被檢測到。

　　Cobalt Strike是攻擊者首選的遠程訪問工具

　　為了獲得控制權并在環境中持續存在，攻擊者希望在受感染的系統上安裝植入程序，從而使他們能夠部分控制機器。惡意軟件、webshell和遠程訪問工具(RAT)都可能是攻擊者在受感染系統中使用的植入程序，以實現遠程訪問。攻擊者使用的主要植入程序之一是Cobalt Strike以及它最近的基于Linux的Vermilion Strike變體。由于Cobalt Strike已經是Windows上的普遍威脅，它現在擴展到基于 Linux的操作系統，這表明威脅者希望利用現成的工具來針對盡可能多的平臺。

　　2020 年 2 月至 2021 年 11 月期間，VMware威脅分析部門在互聯網上發現了14,000多個活躍的 Cobalt Strike Team服務器。破解和泄露的Cobalt Strike用戶信息總百分比為 56%，這意味著超半數的Cobalt Strike用戶可能是網絡犯罪分子，或至少是在非法使用Cobalt Strike。Cobalt Strike和Vermilion Strike等 RAT 已成為網絡犯罪分子的商品工具，這一事實對企業構成了重大威脅。

　　VMware 威脅研究經理Brian Baskin表示：“自從我們實施分析以來，觀察到越老越多的勒索軟件系列被針對基于 Linux系統的惡意軟件所吸引，并有可能利用 Log4j 漏洞進行額外攻擊。本報告中的發現可用于更好地了解這種惡意軟件的性質，并減輕勒索軟件、加密貨幣挖礦和RAT對多云環境日益增長的威脅。隨著針對云的攻擊不斷發展，組織應采