2021年，針對Linux設(shè)備的惡意軟件感染數(shù)量上升了35%，其中最常見的是利用物聯(lián)網(wǎng)設(shè)備進(jìn)行DDoS(分布式拒絕服務(wù))攻擊。

美國信息安全公司CrowdStrike在2021年的攻擊數(shù)據(jù)報告中總結(jié)了以下內(nèi)容：

• 與 2020 年度相比，2021年度針對Linux系統(tǒng)的惡意軟件增加了35%。
• XorDDoS、Mirai和Mozi僵尸網(wǎng)絡(luò)是最流行的攻擊形式，占 2021年觀察到所有針對Linux的惡意軟件攻擊總量的22%。
• Mozi僵尸網(wǎng)絡(luò)過去一年的活動呈爆炸式增長，流通的樣本數(shù)量是前一年的十倍多。
• XorDDoS僵尸網(wǎng)絡(luò)同比增長了123%。

物聯(lián)網(wǎng)智能設(shè)備通常運(yùn)行不同版本的Linux系統(tǒng)，并且僅限于特定的功能。然而，當(dāng)它們的資源合并形成一定規(guī)模時，它們就可以對保護(hù)良好的基礎(chǔ)設(shè)施進(jìn)行大規(guī)模DDoS攻擊。

除了發(fā)動DDoS攻擊，Linux物聯(lián)網(wǎng)設(shè)備也被用來挖掘加密貨幣、濫發(fā)垃圾郵件、充當(dāng)命令和控制服務(wù)器，有時甚至用來充當(dāng)企業(yè)網(wǎng)絡(luò)的入口點(diǎn)。

惡意軟件概述

XorDDoS

XorDDoS是一種通用的Linux木馬，因?qū)2 通信使用 XOR加密而得名，可以在從物聯(lián)網(wǎng)ARM到x64服務(wù)器的多種Linux系統(tǒng)架構(gòu)中運(yùn)行。在XorDDoS攻擊物聯(lián)網(wǎng)設(shè)備時，它通常通過SSH(安全外殼協(xié)議)暴力入侵易感染設(shè)備。在 Linux 機(jī)器上，它使用端口 2375 獲得對主機(jī)的無密碼 root 訪問權(quán)限。

2021有人觀察到一個名為“Winnti”的中國攻擊者將該惡意軟件與其他衍生僵尸網(wǎng)絡(luò)一起部署。這起傳播案例曾引起了廣泛的關(guān)注。

Mozi

Mozi是一個P2P僵尸網(wǎng)絡(luò)，它依靠分布式哈希表(DHT)查找系統(tǒng)來隱藏可疑的C2通信，因此很難被網(wǎng)絡(luò)流量監(jiān)控解決方案發(fā)現(xiàn)。

這個特定的僵尸網(wǎng)絡(luò)已經(jīng)流行了一段時間，而且它正在不斷增加更多漏洞并擴(kuò)大其目標(biāo)范圍。

Mirai

Mirai因其公開源代碼繼續(xù)困擾物聯(lián)網(wǎng)世界而臭名昭著。它發(fā)展至今也催生了眾多分叉，各種衍生產(chǎn)品實現(xiàn)了不同的 C2 通信協(xié)議，而它們通常都利用弱憑據(jù)來暴力破解設(shè)備。

2021年內(nèi)出現(xiàn)過的幾個Mirai變體曾引起廣泛關(guān)注，例如針對家用路由器的“ Dark Mirai ”和針對相機(jī)的“ Moobot ”。

CrowdStrike研究人員目前追蹤的最流行的變體有Sora、IZIH9 和 Rekai。相比2020年，這三種變體的已識別樣本數(shù)量分別增加了33%、39% 和 83%。”

總結(jié)

其實Crowstrike的發(fā)現(xiàn)并不出乎人們的預(yù)料，這恰好證實了前幾年出現(xiàn)的持續(xù)趨勢。例如，網(wǎng)絡(luò)安全公司Intezer在2020年就通過統(tǒng)計數(shù)據(jù)發(fā)現(xiàn)當(dāng)年的Linux 惡意軟件攻擊數(shù)量相比于上一年增加了40%。

在 2020 年的前六個月，Golang惡意軟件就急劇增長500%，這就表明惡意軟件的作者正在尋找使他們的代碼在多個平臺上運(yùn)行的方法。

這種目標(biāo)延伸擴(kuò)大的趨勢已經(jīng)在2022 年初的案例中得到證實，并且在將來只會有增無減。

文章來源：

https://www.bleepingcomputer.com/news/security/linux-malware-sees-35-percent-growth-during-2021/