Linux 被恶意软件攻占 XorDDoS、Mirai 和 Mozi 最流行,linux系统还安全吗???


Linux 为当今的大多数云基础设施和 Web 服务器提供支持,也为移动和物联网设备提供支持。安全公司 CrowdStrike 在最新发布的一份报告中指出,针对通常部署在物联网 (IoT) 设备中的基于 Linux 的操作系统的恶意软件在 2021 年比 2020 年增加了 35%,前三大恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。

  • 与 2020 年相比,2021 年针对 Linux 系统的恶意软件增加了 35%
  • XorDDoS、Mirai 和 Mozi 恶意软件家族占 CrowdStrike 在 2021 年观察到的以 Linux 为目标的威胁的 22% 以上
  • 与 2020 年相比,2021 年观察到的 Mozi 恶意软件样本数量增加了 10 倍

XorDDoS、Mirai 和 Mozi 是 CrowdStrike 在 2021 年观察到的最普遍的基于 Linux 的恶意软件家族。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备,将它们聚集成僵尸网络,并利用它们来进行分布式拒绝服务(DDoS)攻击。

其中,XorDDoS 是针对多种 Linux 架构(从 ARM 到 x86 和 x64)编译的 Linux 木马。它的名字来源于在恶意软件和网络通信中使用 XOR 加密到 C2 基础设施。在以物联网设备为目标时,已知该木马会使用 SSH 暴力攻击来远程控制易受攻击的设备。

在 Linux 机器上,XorDDoS 的一些变体显示其操作员扫描并搜索 2375 端口打开的 Docker 服务器。这个端口提供了一个未加密的 Docker 套接字和对主机的远程 root 无密码访问,攻击者可以滥用它来获得对机器的 root 访问权限。

CrowdStrike 研究人员发现,与 2020 年相比,整个 2021 年 XorDDoS 恶意软件样本的数量增加了近 123%。

Mozi 是一个点对点 (P2P) 僵尸网络,它利用分布式哈希表 (DHT) 系统,实现自己的扩展 DHT。DHT 提供的分布式去中心化查找机制使 Mozi 能够将 C2 通信隐藏在大量合法的 DHT 流量后面。DHT 允许 Mozi 快速发展一个 P2P 网络。而且,由于它在 DHT 上使用了一个扩展,使得其与正常流量没有关联,导致检测 C2 通信变得更加困难。

Mozi 通过暴力破解 SSH 和 Telnet 端口来感染系统。然后它会阻止这些端口,使其不会被其他恶意行为者或恶意软件覆盖。

Mirai 恶意软件在过去几年中声名鹊起,尤其是在其开发者发布 Mirai 源码之后。与 Mozi 类似,Mirai 滥用弱协议和弱密码(例如 Telnet)通过暴力破解攻击来破坏设备。

自从源代码公开以来,出现了多个 Mirai 变体,这个 Linux 木马可以被认为是当今许多 Linux DDoS 恶意软件的共同祖先。虽然大多数变种在现有的 Mirai 功能上进行了补充,或实现了不同的通信协议;但在其核心部分,它们共享相同的 Mirai DNA。

CrowdStrike 研究人员追踪的一些最流行的变体涉及 Sora、IZIH9 和 Rekai。与 2020 年相比,2021 年所有这三种变体的已识别样本数量分别增加了 33%、39% 和 83%。


相關推薦

2023-01-11

题。根据介绍,虽然有几种功能有助于保护开发人员免受恶意扩展的侵害。譬如,微软保证对每个新扩展和每个扩展更新都运行病毒扫描。在扫描结果一切正常之前,该扩展不会发布在 Marketplace 上供公众使用。以及采取了一些

2023-01-03

平台 AV-ATLAS 发布了一份报告,让用户可以了解到 2022 年恶意软件和互联网安全的整体状况。 首先根据他们发布的推文,我们可以了解到这几大操作系统目前的恶意软件数量: 2022 年新的恶意软件:我们总共捕获了 69504686

2022-06-14

Intezer 和 BlackBerry 的研究团队近期新发现了一种新的 Linux 恶意软件,以一种寄生的性质影响 Linux 操作系统;它会感染受感染系统上所有正在运行的进程,为威胁参与者提供 rootkit 功能、获取凭证和远程访问的能力。 他们将这一

2024-07-30

供更好的性能。 安全解决方案希望确保其软件无法被恶意软件、定向攻击或恶意内部人员禁用,即使这些攻击者具有管理员权限。为此,Windows 在启动早期提供早期启动反恶意软件(ELAM)。 然而,内核驱动程序也需要权

2022-11-03

危险的趋势。报告指出: 2022 年上半年记录了 28 亿次恶意软件攻击(+11%)—— 三年多来全球恶意软件数量首次上升 虽然全球勒索软件数量减少了 23%,但欧洲却增加了 63% 即使在下降,年初至今的勒索软件数量也超过了 20

2022-11-27

行了分析,以了解在 Docker Hub 上的容器镜像中隐藏了何种恶意负载。结果表明,其中有 1,652 个被识别为恶意镜像。 研究团队根据几个类别收集了恶意镜像。分析主要集中在两个主要类别:恶意 IP 或域名,以及 secrets。两者都可

2022-07-31

下的特殊程序集,可作为跨平台工具的一部分,目前已在Linux进行可用性测试。 详情查看:https://gitee.com/myui_admin/mozi/releases/1.4.7-build

2021-11-11

,没有成本,可供免费下载和使用PHP 是一门令人惊叹的流行语言,是网络上最大的博客系统的核心(WordPress), 足以运行最大的社交网络(facebook), 它的易用程度足以成为初学者的首选服务器端语言! 什么是 PHP 文件? PHP

2021-12-24

置对于用户提供的输入验证不足,因此远程攻击者可发送恶意构造的HTTP请求,可导致空指针引用和服务端请求伪造风险,利用该漏洞访问服务端内部网络。 CVE-2021-44790: Apache HTTP Server缓冲区溢出漏洞 CVE: CVE-2021-44790组件: Apach

2022-05-11

功能,以及帮助用户空间进程创建内存区域的功能潜在的恶意代码无法访问。该平台还可以满足客户的安全要求,支持 PCI-DSS、HIPAA 等。 RHEL 9 还引入了完整性测量架构 (IMA) 数字哈希和签名。通过完整性测量架构,用户可以通

2022-08-15

ni 和他的同事发现的漏洞只要求他们发送一个发起视频的恶意链接。在 Microsoft Teams 中,他们发现的漏洞可以通过邀请受害者参加会议来加以利用。Purani 在演讲中解释说,在这两种情况下,如果受害目标点击了这些链接,攻击者

2022-08-09

同步多台主机间的文件。 在受影响版本中,允许远程恶意服务器将客户端请求同步更新的文件/目录发送给客户端,并将恶意的文件/目录覆盖到客户端。 攻击者可利用此缺陷来获取客户端主机权限。   参考链接: ht

2022-09-06

在恶意软件分析师与开发人员就使用该工具的攻击进行质询后,新的名为 CodeRAT 远程访问木马 (RAT) 的开发者在 GitHub 上公开了其源代码。网络安全公司 SafeBreach 报告称,CodeRAT 通过使用包含 Microsoft 动态数据交换 (DDE) 漏洞

2022-07-12

pm 库,"ua-parser-js"、"coa 和 "rc"在其维护者账户被入侵后被恶意软件篡改。因此,npm 的母公司 GitHub 采取了措施,从 2021 年 12 月开始为开发者推出增强的登录体验(2FA选项),并在今年 5 月宣布进一步的安全更新。现如今,PyPI 也