В последние годы вопросы кибербезопасности заняли центральное место в повестке дня как среди корпоративных пользователей, так и среди домашних пользователей. В данной статье мы рассмотрим передовые тактические приемы, используемые злоумышленниками для обеспечения безопасности в скомпрометированных системах на базе Linux. Особое внимание уделяется подключаемым модулям аутентификации (PAM), которые стали основой для управления различными методами аутентификации в Linux.
Уязвимости PAM и их использование
PAM предоставляет гибкость для обеспечения безопасности, однако злоумышленники обнаружили способ манипулировать этой системой, создавая вредоносные модули PAM. Эти инструменты могут:
- перехватывать учетные данные;
- изменять протоколирование;
- разрешать несанкционированный доступ;
- выполнять вредоносный код.
Примеры таких вредоносных программ включают руткиты Medusa и Azazel, а также вредоносные программы, такие как Ebury и Skidmap, которые каталогизированы как T1556.003 во фреймворке MITRE ATT&CK.
Контроль над менеджерами пакетов
Злоумышленники также могут захватывать контроль над менеджерами пакетов, такими как DPKG для систем на базе Debian и RPM для дистрибутивов на базе Red Hat. Это позволяет выполнять произвольный код во время установки программного обеспечения или обновлений. Вредоносные сценарии могут запускаться сразу после установки, что обеспечивает первоначальный доступ или сохранение. Этот метод относится к стандарту T1546.016 в MITRE ATT&CK.
Методы манипуляции менеджерами пакетов могут достигаться с помощью таких инструментов, как PANIX, которые имитируют выполнение вредоносных стратегий.
Риски в контейнерных средах
В статье также подчеркивается риск, связанный с использованием методов эвакуации хоста в контейнерных средах. При неправильных настройках или уязвимостях в контейнерных платформах, таких как Docker и Kubernetes, злоумышленники могут выходить из изолированных контейнеров и получать доступ к базовым системам хоста. Основные методы достижения этой цели включают:
- запуск привилегированных контейнеров, которые могут напрямую управлять ресурсами хоста;
- использование уязвимых подключений к каталогу хоста, открывающих доступ к критически важным системным функциям.
Вредоносные бэкдоры PAM
Злоумышленники могут устанавливать вредоносные бэкдоры PAM, изменяя код для ввода жестко запрограммированных учетных данных и используя модули выполнения PAM для запуска бэкдорных скриптов. Например, модуль pam_exec.so может быть использован для выполнения произвольных скриптов в процессе аутентификации, что позволяет вредоносным элементам запускаться после успешной аутентификации пользователя.
Обеспечение безопасности в контейнерах
Кроме того, в статье описываются процедуры обеспечения сохраняемости с помощью настроек контейнера Docker. Это включает в себя создание образов Docker с инструментами и сценариями, которые поддерживают обратные соединения с оболочкой и используют доступ контейнеров к ресурсам хоста в привилегированном режиме. Методы, используемые злоумышленниками, подчеркивают их изощренность в эксплуатации системных уязвимостей.
Заключение
В заключение, необходимо отметить важность разработки средств обнаружения для противодействия подобным методам. Надежное мониторинг и активный поиск угроз с использованием систем, таких как Elastic Security и Falco, важны для улучшения видимости аномального поведения, связанного с этими методами сохранения. Это подчеркивает постоянную необходимость для защитников обновлять и совершенствовать свои системы безопасности в ответ на меняющиеся тактики, применяемые злоумышленниками.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Защита Linux: Как злоумышленники манипулируют PAM и контейнерами".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.