2021年,针对Linux设备的恶意软件感染数量增加35%,其中最常见的是利用物联网设备进行DDoS(分布式拒绝服务)攻击.美国信息安全公司CrowdStrike在其2021年攻击数据报告中总结如下:与2020年相比,2021年针对Linux系统的恶意软件增加了35%,XorDDoS、Mirai和Mozi僵尸网络是最普遍的攻击形式,占22%在2021年所有观察到的针对Linux的恶意软件攻击中。Mozi僵尸网络在过去一年中的活动呈爆炸式增长,流通的样本数量是前一年的十倍以上。XorDDoS僵尸网络同比增长123%。IoT智能设备通常运行不同版本的Linux,并且仅限于特定功能。但是,当它们的资源组合起来形成一定的规模时,就可以对保护良好的基础设施进行大规模的DDoS攻击。除了发起DDoS攻击外,Linux物联网设备还被用于挖掘加密货币、垃圾邮件、充当命令和控制服务器,有时甚至充当企业网络的入口点。恶意软件概述XorDDoSXorDDoS是一种通用的Linux木马,因其对C2通信使用XOR加密而得名,可以在从IoTARM到x64服务器的各种Linux系统架构上运行。当XorDDoS攻击物联网设备时,它通常会通过SSH(安全外壳协议)暴力破解易受攻击的设备。在Linux机器上,它使用端口2375获得对主机的无密码根访问权限。2021年,一位名叫“Winnti”的中国演员被观察到将恶意软件与其他衍生僵尸网络一起部署。这一传播案例引起了广泛关注。MoziMozi是一个P2P僵尸网络,它依靠分布式哈希表(DHT)查找系统来隐藏可疑的C2通信,从而使网络流量监控解决方案难以发现它们。这个特定的僵尸网络已经存在了一段时间,并且不断增加更多漏洞并扩大其目标范围。MiraiMirai因其开源代码而臭名昭著,它继续困扰着物联网世界。它的发展也催生了很多分叉,各种衍生产品实现了不同的C2通信协议,经常使用弱凭证来暴力破解设备。2021年出现的几个Mirai变种引起了广泛关注,例如用于家用路由器的“DarkMirai”和用于相机??的“Moobot”。CrowdStrike研究人员目前正在追踪的最普遍的变种是Sora、IZIH9和Rekai。与2020年相比,这三种变体的鉴定样本数量分别增加了33%、39%和83%。总之,Crowstrike的发现并不出人意料,证实了前几年的持续趋势。例如,在2020年,网络安全公司Intezer发现,当年Linux恶意软件攻击的数量相比前一年增长了40%。在2020年的前六个月,Golang恶意软件激增了500%,这表明恶意软件作者正在寻找让他们的代码在多个平台上运行的方法。这种扩大靶向的趋势在2022年初的病例中已经得到证实,未来只会增加。文章来源:https://www.bleepingcomputer.com/news/security/linux-malware-sees-35-percent-growth-during-2021/
