针对Linux的恶意软件猛增了35%:XorDDoS、Mirai和Mozi是设备上最流行的恶意软件)猛增了35%。其中,三个恶意软件“家族”——XorDDoS、Mirai和Mozi——占基于Linux系统的IoT中所有恶意软件的22%。2021年:35%的新恶意软件以Linux系统为目标2021年,XorDDoS、MiaI和Mozi作为基于Linux的恶意软件将比2020年增加35%。在这些恶意软件样本中,XorDDoS恶意软件样本比2020年增加了123%,并且墨子的数量也比上一年增加了10倍。据悉,这些恶意软件的主要目的是破坏易受攻击的联网设备,将它们聚合成“僵尸网络”,并利用它们进行分布式拒绝服务(DDoS)攻击。其中一种恶意软件XorDDoS是一种Linux木马,它的名字来源于在恶意软件和网络通信的C2基础设施上使用XOR加密。该软件针对从ARM到x86和x64的各种Linux架构进行编译。当以物联网设备为目标时,已知木马会使用SSH暴力攻击远程控制易受攻击的设备。在Linux机器上,XorDDoS的一些变体显示其操作员扫描和搜索端口2375打开的Docker服务器。此端口提供未加密的Docker套接字和对主机的远程root无密码访问,攻击者可以利用它获得对机器的root访问权限。Mirai恶意软件在其开发者发布Mirai源代码后迅速流行起来,并出现了多个Mirai变种。与Mozi类似,Mirai滥用弱协议和密码(如Telnet)通过暴力攻击来破坏设备。CrowdStrike研究人员之前追踪的一些最常见的变体包括Sora、IZIH9和Rekai。与2020年相比,2021年样本中三种变异样本数量分别增加了33%、39%和83%。这个Linux木马的核心部分也共享相同的MiraiDNA。Mozi是一个点对点(P2P)僵尸网络,它使用分布式哈希表(DHT)系统来实现自己的扩展DHT。DHT提供的分布式去中心化查找机制,让墨子可以将C2流量隐藏在大量合法DHT流量的背后,DHT让墨子快速发展P2P网络。此外,由于它在DHT上使用了与正常流量无关的扩展,因此更难检测C2流量。Linux和基于物联网的恶意软件“泛滥”作为当今大多数云基础设施和Web服务器的动力,Linux还为移动和物联网(IoT)设备提供动力。Linux凭借其可扩展性、安全特性和广泛的发行版等优势,支持多种硬件设计,在任何硬件需求上都有出色的表现。由于各种Linux构建和发行版是云基础设施、移动和物联网的核心,因此网络威胁参与者也有巨大的机会。例如,无论是使用硬编码凭据、开放端口还是未修补的漏洞,运行Linux的物联网设备都不太容易被威胁行为者访问,但它们的整体妥协可能会威胁到关键互联网服务的完整性。到2025年底,预计将有超过300亿台物联网设备连接到互联网,从而为网络威胁和网络犯罪分子创造一个潜在的巨大攻击面,从而创建大规模的“僵尸网络”。“僵尸网络”是连接到远程命令和控制(C2)中心的受感染设备网络,该中心充当更大网络中的齿轮并可以感染其他设备。“僵尸网络”通常用于CPU密集型活动,例如DDoS攻击、垃圾邮件目标、获得远程控制和执行加密挖掘。DDoS攻击使用多个联网设备访问特定服务或网关,消耗全部带宽并阻止合法流量通过,从而导致其崩溃。2016年的“Mirai僵尸网络”事件提醒人们,大量看似良性的设备执行DDoS攻击可能会破坏关键的互联网服务,影响组织和普通用户。今天,这些猖獗的恶意软件可能成为当今Linux的最大威胁。
