Linux 为当今的大多数云基础设施和 Web 服务器提供支持,也为移动和物联网设备提供支持。安全公司 CrowdStrike 在最新发布的一份报告中指出,针对通常部署在物联网 (IoT) 设备中的基于 Linux 的操作系统的恶意软件在 2021 年比 2020 年增加了 35%,前三大恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。
- 与 2020 年相比,2021 年针对 Linux 系统的恶意软件增加了 35%
- XorDDoS、Mirai 和 Mozi 恶意软件家族占 CrowdStrike 在 2021 年观察到的以 Linux 为目标的威胁的 22% 以上
- 与 2020 年相比,2021 年观察到的 Mozi 恶意软件样本数量增加了 10 倍
XorDDoS、Mirai 和 Mozi 是 CrowdStrike 在 2021 年观察到的最普遍的基于 Linux 的恶意软件家族。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备,将它们聚集成僵尸网络,并利用它们来进行分布式拒绝服务(DDoS)攻击。
其中,XorDDoS 是针对多种 Linux 架构(从 ARM 到 x86 和 x64)编译的 Linux 木马。它的名字来源于在恶意软件和网络通信中使用 XOR 加密到 C2 基础设施。在以物联网设备为目标时,已知该木马会使用 SSH 暴力攻击来远程控制易受攻击的设备。
在 Linux 机器上,XorDDoS 的一些变体显示其操作员扫描并搜索 2375 端口打开的 Docker 服务器。这个端口提供了一个未加密的 Docker 套接字和对主机的远程 root 无密码访问,攻击者可以滥用它来获得对机器的 root 访问权限。
CrowdStrike 研究人员发现,与 2020 年相比,整个 2021 年 XorDDoS 恶意软件样本的数量增加了近 123%。
Mozi 是一个点对点 (P2P) 僵尸网络,它利用分布式哈希表 (DHT) 系统,实现自己的扩展 DHT。DHT 提供的分布式去中心化查找机制使 Mozi 能够将 C2 通信隐藏在大量合法的 DHT 流量后面。DHT 允许 Mozi 快速发展一个 P2P 网络。而且,由于它在 DHT 上使用了一个扩展,使得其与正常流量没有关联,导致检测 C2 通信变得更加困难。
Mozi 通过暴力破解 SSH 和 Telnet 端口来感染系统。然后它会阻止这些端口,使其不会被其他恶意行为者或恶意软件覆盖。
Mirai 恶意软件在过去几年中声名鹊起,尤其是在其开发者发布 Mirai 源码之后。与 Mozi 类似,Mirai 滥用弱协议和弱密码(例如 Telnet)通过暴力破解攻击来破坏设备。
自从源代码公开以来,出现了多个 Mirai 变体,这个 Linux 木马可以被认为是当今许多 Linux DDoS 恶意软件的共同祖先。虽然大多数变种在现有的 Mirai 功能上进行了补充,或实现了不同的通信协议;但在其核心部分,它们共享相同的 Mirai DNA。
CrowdStrike 研究人员追踪的一些最流行的变体涉及 Sora、IZIH9 和 Rekai。与 2020 年相比,2021 年所有这三种变体的已识别样本数量分别增加了 33%、39% 和 83%。