Di berbagai organisasi di seluruh dunia, adopsi kontainer telah menunjukkan tanda-tanda menjadi arus utama selama beberapa tahun terakhir.
Sejak proyek orkestrasi container seperti Kubernetes dan alat lain yang tersedia di cloud telah dikembangkan dalam beberapa tahun terakhir, gelombang transformasi telah terjadi dalam cara organisasi beroperasi.
Penerapan arsitektur berbasis layanan mikro daripada arsitektur monolitik adalah fitur yang semakin populer dalam pengembangan sistem terdistribusi.
Namun, sebagai konsekuensi dari perubahan ini, ada juga peningkatan permukaan serangan, yang merupakan masalah. Khususnya melalui kesalahan konfigurasi keamanan dan kerentanan yang diperkenalkan selama penerapan yang mengarah pada ancaman dan kompromi keamanan.
Karena itu, peretas meluncurkan serangan di lingkungan Linux dengan mengeksploitasi alat Linux asli.
Biasanya ada rantai eksploitasi standar yang diikuti oleh penyerang ketika menyerang sistem berbasis Linux. Langkah pertama dalam mendapatkan akses ke lingkungan adalah bagi penyerang untuk mengeksploitasi kerentanan.
Menurut laporan Trend Micro, untuk mendapatkan akses ke area lebih lanjut dari sistem yang disusupi, penyerang dapat mengikuti jalur yang berbeda:
- Lingkungan organisasi saat ini dijelaskan dengan menyebutkan konteksnya.
- Eksfiltrasi data dari lingkungan yang berisi informasi sensitif.
- Menonaktifkan aplikasi dan menyebabkan serangan penolakan layanan.
- Mengunduh penambang dan menambang cryptocurrency.
- Bereksperimen dengan teknik lain, seperti : Eskalasi Hak Istimewa, Gerakan lateral, Kegigihan, Akses Kredensial
Pelaku ancaman menggunakan berbagai alat yang disertakan dengan distribusi Linux untuk mencapai tujuan ini. Alat tersebut adalah : curl, wget, chmod, chattr,ssh, base64, chroot, crontab, ps, pkill.
Decoding string yang dikodekan dalam format base64 dilakukan dengan alat base64, yang merupakan utilitas Linux. Untuk menghindari deteksi, penyerang sering menggunakan pengkodean base64 untuk mengaburkan muatan dan perintah mereka.
Perintah bash shell pengguna dicatat dalam file riwayat .bash mereka, yang terletak di direktori home mereka. Seorang penyerang memilih untuk menggunakan meja kerja Visual One, chroot, dan utilitas base64 untuk mengeksekusi kode berbahaya.
Tidak ada keraguan bahwa penyerang menggunakan alat dan utilitas yang melekat pada OS, sehingga pembela harus memikirkan kontrol apa yang ingin mereka miliki selama fase serangan yang berbeda sehingga mereka dapat tetap berada di depan penyerang.
Untuk mengurangi ancaman tersebut anda dapat melakukan :
Sumber: GBHacker