Discussion :

[Sandra Coret]

Les logiciels malveillants ciblant les systèmes d'exploitation basés sur Linux augmentent à la fois en volume et en complexité, dans un contexte d'évolution rapide du paysage des menaces

Du fait de son utilisation sur de nombreux serveurs en cloud, Linux est un élément central de l'infrastructure numérique. Il n'est donc pas surprenant qu'il soit de plus en plus la cible d'attaques. Un nouveau rapport de l'unité d'analyse des menaces de VMware révèle que les logiciels malveillants ciblant les systèmes d'exploitation basés sur Linux augmentent à la fois en volume et en complexité, dans un contexte d'évolution rapide du paysage des menaces

"Les cybercriminels élargissent considérablement leur champ d'action et ajoutent des logiciels malveillants ciblant les systèmes d'exploitation basés sur Linux à leur panoplie d'attaques afin de maximiser leur impact avec le moins d'efforts possible", explique Giovanni Vigna, directeur principal de la veille sur les menaces chez VMware. "Plutôt que d'infecter un point d'extrémité et de se diriger ensuite vers une cible de plus grande valeur, les cybercriminels ont découvert que la compromission d'un seul serveur peut leur apporter le gain massif et l'accès qu'ils recherchent. Les attaquants considèrent les clouds publics et privés comme des cibles de grande valeur en raison de l'accès qu'ils offrent aux services d'infrastructures critiques et aux données confidentielles. Malheureusement, les mesures actuelles de lutte contre les logiciels malveillants sont principalement axées sur les menaces basées sur Windows, laissant de nombreux déploiements de clouds publics et privés vulnérables aux attaques sur les systèmes d'exploitation basés sur Linux."

Les outils d'accès à distance sont souvent l'arme de prédilection des attaquants et l'un des principaux outils utilisés est l'outil commercial de pen testing Cobalt Strike. Le rapport estime que plus de la moitié des utilisateurs de Cobalt Strike pourraient être des cybercriminels, ou du moins utiliser Cobalt Strike de manière illicite, les identifiants des clients de Cobalt Strike ayant été piratés et divulgués à 56 %.

Les ransomwares basés sur Linux évoluent pour cibler les images hôtes utilisées pour faire tourner les charges de travail dans les environnements virtualisés. Le cryptojacking est également un problème, les cybercriminels incluant une fonctionnalité de vol de portefeuille dans les logiciels malveillants ou monétisant les cycles de CPU volés pour miner avec succès des cryptocurrences.

"Depuis que nous avons effectué notre analyse, nous avons constaté que de plus en plus de familles de ransomwares gravitaient autour des logiciels malveillants basés sur Linux, avec le potentiel d'attaques supplémentaires qui pourraient exploiter les vulnérabilités Log4j ", déclare Brian Baskin, responsable de la recherche sur les menaces chez VMware. "Les conclusions de ce rapport peuvent être utilisées pour mieux comprendre la nature des logiciels malveillants basés sur Linux et atténuer la menace croissante que représentent les ransomwares, les cryptomining et les RAT pour les environnements multi-cloud. Comme les attaques ciblant le cloud continuent d'évoluer, les organisations devraient adopter une approche de confiance zéro pour intégrer la sécurité dans toute leur infrastructure et s'attaquer systématiquement aux vecteurs de menace qui constituent leur surface d'attaque."

Source : VMware

Et vous ?

Trouvez-vous ce rapport pertinent ?

Voir aussi :

Les stations de travail et les serveurs basés sur Linux deviennent la cible de groupes de menaces persistantes avancées (APT), d'après une étude réalisée par Kaspersky

Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

La force gravitationnelle du trou noir des ransomwares attire d'autres cybermenaces pour créer un système de distribution de ransomwares massif et interconnecté, selon un rapport de Sophos

[JPLAROCHE]

bonjour ,
sans vouloir offusquer personnes ni renier qu'il n'y a pas d'attaque sur Linux je conseille de lire https://doc.ubuntu-fr.org/antivirus. Pour les utilisateurs lambda.

et ne pas faire de paranoïa. Mais rester prudent.

Histoire de se remettre à jour...
Après avoir lu. et relut et vue d'autre article sur le même sujet j'ai essayé de communiquer et de lire d'autres communiqués sur le traitement de malware voir de script malicieux. Je continue à dire qu'une bonne installation avec un HOME sur un disk autre que celui du system et des droits pour les utilisateurs de base et pas root ou donnant accès à la modification du system ect... , entrave considérablement la malveillance .

pour rappel :
Une des vulnérabilités de GNU/Linux est due au fait que de nombreux utilisateurs imaginent que GNU/Linux n'est pas sensible aux virus, ou alors configurent leur ordinateur de façon non sécurisée, que ce soit par ignorance ou par maladresse.

L'intérêt des développeurs de virus semble lié à la popularité du système d'exploitation cible, mais la stricte séparation des droits Unix et la mise en place du firewall dans le noyau, et ce dès le début du démarrage rendent difficile la propagation de virus dans Linux.


Un virus peut être conçu pour exploiter des vulnérabilités de type élévation des privilèges qui peuvent permettre d'obtenir plus de droits ou de privilèges sur le système. A cela je réponds que je ne donne pas le mot de passe de l'administrateur.

Pour les utilisateurs perso. je précise que le mot de passe administrateur n'est fait que pour l'administrateur, qu'ils n'ont pas d'intérêt à l'utiliser si ce n'est que corrompre leurs system.


Quant aux attaques DDOS Une attaque par déni de service distribué (DDoS) est une tentative de rendre un service en ligne indisponible en le submergeant de trafic provenant de plusieurs sources.


Open-Source:
lire https://www.globalsign.com/fr/blog/comment-contrer-une-attaque-ddos-sur-un-serveur-cloud

il faut être conscient que les attaques DDOS vous pouvez les bloquer ... , mais pas les empêcher actuellement.

Un autre trou :
De même quand les utilisateurs se refilent le mot de passe , j'ai essayé et ça fonctionne en partie de lier un USER à une unité, mais on ne peut pas toujours le faire. Si ce n'est que de sensibiliser les personnes , les responsabiliser.

[kain_tn]

[...]

Oui, tout ce qui est dit est vrai mais je vais me permettre de nuancer pour la partie ransomware: un ransomware peut faire dégâts sur le home de l'utilisateur (là où ce dernier a des droits d’exécution en fait), et de ce fait chiffrer toutes les données d'un utilisateur précis sans avoir la possibilité de détruire le système (justement grâce à une gestion des permissions saine).

Perso, une fois les données perdues, je trouve que le mal est fait.

Maintenant, pour lancer un ransomware sur Linux, il faut quand même le faire exprès. Il ne va pas s'exécuter tout seul, la plupart des logiciels seront installés depuis le gestionnaire de package de la distribution et depuis des dépôts de confiance, et c'est par exemple parfaitement sûr d'ouvrir une image qui contiendrait un virus, car celle-ci sera "lue" et non "exécutée". Après, si l'utilisateur s'amuse à installer plein de dépôts tiers aussi, on en revient aux règles d'hygiène de base.

Un autre trou :
De même quand les utilisateurs se refilent le mot de passe , j'ai essayé et ça fonctionne en partie de lier un USER à une unité, mais on ne peut pas toujours le faire. Si ce n'est que de sensibiliser les personnes , les responsabiliser.

Sur ce sujet, que ce soit au travers de OpenSSH ou juste des sessions locales (terminal ou session graphique), tu peux définir des stratégies d'authentification, comme par exemple nécessiter l'utilisation de plusieurs facteurs d'authentification (clé FIDO, etc), ce qui limite la casse aussi en cas de propagation de mot de passe

[JPLAROCHE]

Maintenant, pour lancer un ransomware sur Linux, il faut quand même le faire exprès. Il ne va pas s'exécuter tout seul, la plupart des logiciels seront installés depuis le gestionnaire de package de la distribution et depuis des dépôts de confiance, et c'est par exemple parfaitement sûr d'ouvrir une image qui contiendrait un virus, car celle-ci sera "lue" et non "exécutée". Après, si l'utilisateur s'amuse à installer plein de dépôts tiers aussi, on en revient aux règles d'hygiène de base.

Sur ce sujet, que ce soit au travers de OpenSSH ou juste des sessions locales (terminal ou session graphique), tu peux définir des stratégies d'authentification, comme par exemple nécessiter l'utilisation de plusieurs facteurs d'authentification (clé FIDO, etc), ce qui limite la casse aussi en cas de propagation de mot de passe

tout à fait d'accord, sur les deux points.
le problème se pose beaucoup plus chez l'utilisateur perso, mais il y en a qui se tape la tête contre les murs.
ps: personnellement j'interviens souvent après la catastrophe sur Windows chez des particuliers (je suis maintenant à la retraite) alors ils ont compris je verrouille tout, et ils m'invitent pour prendre un pastis 2 fois par an pour faire leur mise à jour ou pour leur installer un logiciel, ils sont dans mon village.

Sur ce sujet, que ce soit au travers de OpenSSH ou juste des sessions locales (terminal ou session graphique), tu peux définir des stratégies d'authentification, comme par exemple nécessiter l'utilisation de plusieurs facteurs d'authentification (clé FIDO, etc), ce qui limite la casse aussi en cas de propagation de mot de passe

c'est vrai aujourd'hui j'aurai mis comme tu le sugères pour certain poste clé .

[chrtophe]

Ce qui "sécurise" le plus Linux par rapport à Windows :

- 99,99% des postes sont sous Windows, mieux vaut développer un virus sous Windows
- Les utilisateurs ne travaillent pas en root, les GUI comme KDE ou Gnome n'autorisent pas leur lancement en root. Ca limite déjà le risque
- On installe en général les applis depuis les dépôts officiels, sous Windows, on lance un .exe pouvant avoir été téléchargé depuis une source non fiable. Il est maintenant possible d’interdire l'installation depuis autre chose que le store - encore faut-il que celui-ci soit fourni par rapport aux attente des utilisateurs.

le plus de Windows : les mises à jour forcées : une faille patché le sera automatiquement. sous Linux : cela va dépendre si l'utilisateur fait ses mises à jour. Les mises à jour sous Windows sont aussi un problème : mises à jour corrigeant un problème mais en créant un autre, mise à jour crashant le poste (non systématique je précise)

Il y a des failles importantes sur les 2 environnements.

Avec l'explosion du cloud, la tendance va évoluer :
99,99 % des serveurs web, ou des serveurs gérant le cloud sont sous Linux. Imaginez les dégâts si par exemple Dropbox ou service similaire se fait compromettre. Les pirates ont donc un intérêt à viser Linux pour cet aspect. Une boutique en ligne compromise=récup de moyens de paiement, de données personnelles.pour compromettre une boutique en ligne, pas besoin de compromettre le système, juste le système de boutique en ligne par une faille de celui-ci. Il y a déjà eu des failles graves sur prestashop ou woocommerce.
Il suffit de regarder également les dégâts de log4j.

[kain_tn]

Ce qui "sécurise" le plus Linux par rapport à Windows :

- 99,99% des postes sont sous Windows, mieux vaut développer un virus sous Windows
- Les utilisateurs ne travaillent pas en root, les GUI comme KDE ou Gnome n'autorisent pas leur lancement en root. Ca limite déjà le risque
- On installe en général les applis depuis les dépôts officiels, sous Windows, on lance un .exe pouvant avoir été téléchargé depuis une source non fiable. Il est maintenant possible d’interdire l'installation depuis autre chose que le store - encore faut-il que celui-ci soit fourni par rapport aux attente des utilisateurs.

Il y a également la gestion des droits qui est plus fine. Comme je le disais plus haut, pour lire une image, tu n'as pas besoin de l'exécuter. Du coup même si le contenu est malveillant, il ne sera pas exécuté donc il restera inoffensif.

À cela s'ajoutent les sandbox comme AppArmor et SELinux, qui viennent souvent installés par défaut maintenant avec des profils par défaut pour certaines applications telles que les navigateurs Web par exemple (et heureusement car leur configuration n'est pas à la portée du premier utilisateur venu, je trouve, mais leur valeur est réelle).

Pour ce qui est des dépôts officiels, tu as raison mais certaines pratiques tendent à augmenter le risque, comme par exemple Raspberry PI OS qui installe des dépôts tiers (et leur clé GPG) à l'insu de ses utilisateurs, ou encore les nombreux tuto qui encouragent les gens à installer des PPT à la pelle pour Ubuntu.

le plus de Windows : les mises à jour forcées : une faille patché le sera automatiquement. sous Linux : cela va dépendre si l'utilisateur fait ses mises à jour. Les mises à jour sous Windows sont aussi un problème : mises à jour corrigeant un problème mais en créant un autre, mise à jour crashant le poste (non systématique je précise)

Là ça dépend des choix de l'utilisateur (par exemple choisir d'installer les mises à jour de sécurité automatiquement, et de faire le reste en manuel, ou de tout faire en manuel, ou tout en automatique).

Avec l'explosion du cloud, la tendance va évoluer :
99,99 % des serveurs web, ou des serveurs gérant le cloud sont sous Linux. Imaginez les dégâts si par exemple Dropbox ou service similaire se fait compromettre. Les pirates ont donc un intérêt à viser Linux pour cet aspect. Une boutique en ligne compromise=récup de moyens de paiement, de données personnelles.pour compromettre une boutique en ligne, pas besoin de compromettre le système, juste le système de boutique en ligne par une faille de celui-ci. Il y a déjà eu des failles graves sur prestashop ou woocommerce.

Ça fait deux décennies que la plupart des serveurs sont sous Linux.

Mais comme tu le dis, le Cloud change la donne: en effet, concentrer tous les services du monde (avec tout leur vol de données personnelles au passage) aux mêmes endroits, ça en fait des cibles très alléchantes.

Il suffit de regarder également les dégâts de log4j.

Mouais, pour les failles log4j, la plupart des boîtes se noient dans un verre d'eau.

Certes les failles sont réelles, mais quand une boîte veut nous faire croire qu'elle ne peut pas remplacer Log4j (2 au passage) dans ses produits sans revoir tout le code, c'est qu'elle ne fait pas du code propre, et c'est bien fait pour sa tronche...

Il y avait bien plus à craindre avec des failles telles que Heartbleed par exemple il y a plus d'une décennie, ou encore Orion (SolarWinds 2018/2019) qui était utilisé dans beaucoup de grandes entreprises.

Log4J2, tu peux remplacer ta dépendance par une autre bibliothèque compatible SLF4J en un rien de temps, et à part si tu as écrit des filtres custom, tu n'as même pas besoin de recompiler: tu passes au déploiement directement.